我在内部网络上有一个 debian NFS 服务器,我想保护它免受恶意代理的修改。我想要比每个 IP 或每个 mac 防火墙规则更强大的规则。客户端都是 Linux。
从我目前所读/浏览的内容来看,使用 NFS 的 Kerberos 需要每个用户进行身份验证,这又要求用户通过 KDC 登录。服务器的一些用户是移动用户,因此这是一个不具吸引力的选项。
我目前还没有考虑使用 VPN,主要是因为它的性能问题。
实现上述目标的最简单的方法是什么?
请注意,我并不太关心防止嗅探网络流量,而只关心修改数据。
答案1
很不错文章Charles Fisher 介绍了如何使用 stunnel 保护 NFS 流量。通过双向 TLS 握手(客户端+服务器证书),您可以获得独立于 IP 的保护。
受该文档的启发,IETF nfs 工作组启动了 NFS-over-TLS 项目,该项目目前正在开发中,并被许多 nfs 客户端/服务器实现所采用。