对于外部访问来说,AFP 或 SAMBA 哪个更安全?

对于外部访问来说,AFP 或 SAMBA 哪个更安全?

我正在运行 12.04 LTS。标题说明了一切:对于外部访问,AFP 还是 Samba 更安全?

答案1

一般来说AFP、CIFS/SMB(即SAMBA)和NFS是不是安全协议,因为它们被设计用于在本地“可信”网络内工作。

您可能有某种形式的身份验证,但流量未加密。

如果您需要安全访问,您应该通过 SSH 隧道传输流量,甚至使用 VPN。

答案2

我不确定您所说的“外部访问”是什么意思。除了在本地网络或 VPN 安全的 WAN 上,通常都不应使用这两种方式,因为米奇 说。除了流量未加密之外,这些协议并非设计为暴露给整个互联网;对于 SSH 等服务而言被视为关键的漏洞通常对于 SMB/CIFS 或 AFP 实现而言仅被视为中等严重。SMB/CIFS 的 Windows 实现存在许多漏洞,尽管 Ubuntu 上的 Samba 可能更安全,但我不知道有任何研究表明这一点。

但还有另一个考虑因素。

Windows 几乎不支持 AFP。OS X 支持 AFP,但 OS X 也支持 SMB/CIFS。只要您已安排好足够的安全措施(例如,如果人们通过互联网访问它,则只能通过适当的 VPN),您可能应该使用 SMB/CIFS,除非您知道您不会有任何本机 Windows 客户端(这似乎不太可能,即使对于 Ubuntu 或 OS X 商店也是如此)。

但这也许是一个假困境。

可以启用多个服务以提供对相同文件的访问。您甚至可以为它们配置相同的限制。SMB/CIFS(通过 Ubuntu 上的 Samba)、AFP、NFS 和各种其他服务可以同时运行。

当然,你不应该无缘无故地运行额外的服务——每一项额外的服务都需要你(或你组织中的某些网络管理员)了解它的工作原理,确保安全地配置它,并提供支持,而且每一项额外的服务都会在一定程度上增加你的总攻击面也一样。

但运行更多服务通常比使用非预期服务来做一些事情要好。

具体来说,如果您需要在不使用 VPN 的情况下通过 Internet 访问文件,那么即使您已经设置了 SMB/CIFS、AFP 和/或 NFS,您仍然应该只在 LAN 上使用这些服务,并设置额外的适当服务以通过不安全的网络访问文件。SSH 和 SFTP 通常是一种很好的服务。

相关内容