我创建了一个无盘 Debian 安装,其根文件系统通过 NFS 实现,引导加载程序在 USB 上(由于某种原因,这台计算机无法从 PXE 启动)。我的设置与描述的设置类似在 ArchLinux Wiki 上。
这对我来说效果很好,但我有一些安全方面的担忧。
- 任何人都可以挂载 NFS 根,我可以通过 IP 进行限制,但这很容易规避。
- NFS 流量未加密,因此可以被嗅探。
NFS 服务器和我想要启动的笔记本电脑位于不同的 VLAN 上,并且我已设置了防火墙规则以使其正常工作。
我有哪些选项可以隧道传输 NFS 流量?
- 有些地方建议使用 VPN,但我不确定在启动时是否可行。
- 类似的选项是在交换机上使用 802.1X 来访问 NFS VLAN,但我也不知道这在启动时是否可行。
- 使用不同的网络共享?使用 Kerberos 加密 NFS,不知道它在启动时是否有效。
还有其他建议吗?关于创建无盘系统有很多资源,但大多数都依赖于在受信任的网络上启动。我可以这样做,但我不想每次通过网络启动时更改端口中的 VLAN,而当我想启动笔记本电脑安装的(不受信任的)操作系统时也是如此。