对于外部访问来说，AFP 或 SAMBA 哪个更安全？

Question 1

一般来说AFP、CIFS/SMB（即SAMBA）和NFS是不是安全协议，因为它们被设计用于在本地“可信”网络内工作。

您可能有某种形式的身份验证，但流量未加密。

如果您需要安全访问，您应该通过 SSH 隧道传输流量，甚至使用 VPN。

Answer

一般来说AFP、CIFS/SMB（即SAMBA）和NFS是不是安全协议，因为它们被设计用于在本地“可信”网络内工作。

您可能有某种形式的身份验证，但流量未加密。

如果您需要安全访问，您应该通过 SSH 隧道传输流量，甚至使用 VPN。

Question 2

我不确定您所说的“外部访问”是什么意思。除了在本地网络或 VPN 安全的 WAN 上，通常都不应使用这两种方式，因为米奇说。除了流量未加密之外，这些协议并非设计为暴露给整个互联网；对于 SSH 等服务而言被视为关键的漏洞通常对于 SMB/CIFS 或 AFP 实现而言仅被视为中等严重。SMB/CIFS 的 Windows 实现存在许多漏洞，尽管 Ubuntu 上的 Samba 可能更安全，但我不知道有任何研究表明这一点。

但还有另一个考虑因素。

Windows 几乎不支持 AFP。OS X 支持 AFP，但 OS X 也支持 SMB/CIFS。只要您已安排好足够的安全措施（例如，如果人们通过互联网访问它，则只能通过适当的 VPN），您可能应该使用 SMB/CIFS，除非您知道您不会有任何本机 Windows 客户端（这似乎不太可能，即使对于 Ubuntu 或 OS X 商店也是如此）。

但这也许是一个假困境。

可以启用多个服务以提供对相同文件的访问。您甚至可以为它们配置相同的限制。SMB/CIFS（通过 Ubuntu 上的 Samba）、AFP、NFS 和各种其他服务可以同时运行。

当然，你不应该无缘无故地运行额外的服务——每一项额外的服务都需要你（或你组织中的某些网络管理员）了解它的工作原理，确保安全地配置它，并提供支持，而且每一项额外的服务都会在一定程度上增加你的总攻击面也一样。

但运行更多服务通常比使用非预期服务来做一些事情要好。

具体来说，如果您需要在不使用 VPN 的情况下通过 Internet 访问文件，那么即使您已经设置了 SMB/CIFS、AFP 和/或 NFS，您仍然应该只在 LAN 上使用这些服务，并设置额外的适当服务以通过不安全的网络访问文件。SSH 和 SFTP 通常是一种很好的服务。

Answer

我不确定您所说的“外部访问”是什么意思。除了在本地网络或 VPN 安全的 WAN 上，通常都不应使用这两种方式，因为米奇说。除了流量未加密之外，这些协议并非设计为暴露给整个互联网；对于 SSH 等服务而言被视为关键的漏洞通常对于 SMB/CIFS 或 AFP 实现而言仅被视为中等严重。SMB/CIFS 的 Windows 实现存在许多漏洞，尽管 Ubuntu 上的 Samba 可能更安全，但我不知道有任何研究表明这一点。

但还有另一个考虑因素。

Windows 几乎不支持 AFP。OS X 支持 AFP，但 OS X 也支持 SMB/CIFS。只要您已安排好足够的安全措施（例如，如果人们通过互联网访问它，则只能通过适当的 VPN），您可能应该使用 SMB/CIFS，除非您知道您不会有任何本机 Windows 客户端（这似乎不太可能，即使对于 Ubuntu 或 OS X 商店也是如此）。

但这也许是一个假困境。

可以启用多个服务以提供对相同文件的访问。您甚至可以为它们配置相同的限制。SMB/CIFS（通过 Ubuntu 上的 Samba）、AFP、NFS 和各种其他服务可以同时运行。

当然，你不应该无缘无故地运行额外的服务——每一项额外的服务都需要你（或你组织中的某些网络管理员）了解它的工作原理，确保安全地配置它，并提供支持，而且每一项额外的服务都会在一定程度上增加你的总攻击面也一样。

但运行更多服务通常比使用非预期服务来做一些事情要好。

具体来说，如果您需要在不使用 VPN 的情况下通过 Internet 访问文件，那么即使您已经设置了 SMB/CIFS、AFP 和/或 NFS，您仍然应该只在 LAN 上使用这些服务，并设置额外的适当服务以通过不安全的网络访问文件。SSH 和 SFTP 通常是一种很好的服务。

对于外部访问来说，AFP 或 SAMBA 哪个更安全？

答案1

答案2

但还有另一个考虑因素。

但这也许是一个假困境。

相关内容