NFS og sikkerhet?

[Langbein]

På hjemmenettverket mitt har jeg en NFS-server stående med rimelig default oppsett, altså ingen ekstra sikkerhetstiltak. Det fungerer ypperlig til sitt bruk, og NFS er etter min mening den desidert enkleste måten å sette opp en filserver mellom *nix-maskiner.

 

Men jeg skulle gjerne hørt fra de av dere som f.eks administrerer større nettverk i firmaer eller skoler. Hva har dere evt gjort av tiltak for å bedre sikkerheten? NFS har jo i seg selv ingen robust form for autentisering (bruker kun IP-adresser og UID).

 

Så lenge alle klientmaskinene holdes konstant oppdatert, er det forhåpentligvis ingen vanlige brukere som får tilgang fra disse maskinene. Opsjonen 'secure' i /etc/exports tvinger slik jeg har skjønt det alle klientene til å opprette connections på priviligerte porter, slik at vanlige brukere ikke skal kunne benytte tvilsomme programmer (rough clients) til å opprette connections som en annen UID, da disse vil bli avvist av servern.

 

Derfor er jeg mer redd for at folk rett og slett kobler seg inn på nettverket vha andre maskiner som de selv har kontroll på. Da trenger de ikke en gang å bruke trikseprogrammer, de er jo naturligvis root på disse egne pc'er og kan tilegne seg nøyaktig den UID de måtte ønske (eller bare være root hvis det ikke er sperret av servern med root_squash). IP-adressen kan selvsagt også settes manuelt til det man måtte ønske. Benyttes det firewall med MAC-filtrering kan jo det også trikses med.

 

Med andre ord - hvordan kan man få sikret en NFS-server mot misbruk på best mulig måt? Jeg ser ihvertfall ingen annen utvei enn å benytte en eller annen form for kryptering siden dette dessverre ikke er innebygd i selve NFS. Er en eller annen IPSEC-løsning veien å gå? Eller bruke noe helt annet enn NFS?

Endret 7. november 2004 av Langbein

[kyrsjo]

Jeg er admin på en skole, og sikkerhet/NFS er det vi ikke snakker så høyt om...

 

Så vidt jeg har forstått, har NIS noen løsninger for dette, men dette har vi ikke implementert. (skolelinux har)

 

Det med at IP-adressen kan settes manuellt er en todelt sak. Kun hvis man har "sørget for" at en gyldig ip er ledig, er dette mulig. ( i alle fall hvis mac-filtrering er på plass)

[stigfjel]

Har hørt at Sun Solaris har en del NFS-funskjoner som få/ingen andre unix-versjoner/linux-distroer har. Men dette vet jeg lite om hva innebærer. Det er en av grunnene til at NTNU kjører hardt på Solaris.

[Cronius]

Derfor er jeg mer redd for at folk rett og slett kobler seg inn på nettverket vha andre maskiner som de selv har kontroll på. Da trenger de ikke en gang å bruke trikseprogrammer, de er jo naturligvis root på disse egne pc'er og kan tilegne seg nøyaktig den UID de måtte ønske (eller bare være root hvis det ikke er sperret av servern med root_squash). IP-adressen kan selvsagt også settes manuelt til det man måtte ønske. Benyttes det firewall med MAC-filtrering kan jo det også trikses med.

 

Med andre ord - hvordan kan man få sikret en NFS-server mot misbruk på best mulig måt? Jeg ser ihvertfall ingen annen utvei enn å benytte en eller annen form for kryptering siden dette dessverre ikke er innebygd i selve NFS. Er en eller annen IPSEC-løsning veien å gå? Eller bruke noe helt annet enn NFS?

Hvis det er sant at man kan trikse med MAC-adresse (var ikke klar over dette) så betyr det at man effektivt kan utelukke fysisk sikkerhet (stole på en maskin basert på at "denne maskinen er til å stole på"), og som du sier blir du nødt til å ty til kryptering for autentisering (software-autentisering).

 

Hvordan dette gjennomføres vet du sikkert mye bedre enn meg, men du har stort sett resonert deg fram til svaret i selve spørsmålet ditt..

 

Jeg tror ikke NFS hadde vært så utbredt hvis det ikke kan gjøres mer sikkert enn du beskriver det selv. Jeg tror det i så fall er "common practise" å bare la ssh ta seg av autentiseringa og heller la NFS gjøre den egentlig jobben sin.

[zyp]

Samba er jo et alternativ, som er sikrere enn NFS.

[kyrsjo]

Kan du ikke bruke NIS (netgroups) på en eller annen måte til å kontrollere tillgangen?

[lillemykhater]

Det er trivielt å endre MAC adresser, både på Linux og Windows (de leses fra kortet og caches i RAM, hvor de kan endres).

 

Selv bruker jeg samba med ldap.

 

NFS og LDAP via PAM fungerer vel også?

Endret 10. november 2004 av lillemykhater

[Langbein]

Nettopp, skal holde å gjøre noe slikt for å spoofe både IP og MAC:

 

ifconfig eth0 192.168.0.1 hw ether 11:12:13:14:15:16 up

 

 

Men ang. sistnevnte forslag - hjelper det for sikkerheten på NFS-serveren å bruke LDAP m/PAM? NFS bruker jo ikke passord, det er kun UID som gjelder, og man kan vel uansett bare omgå LDAP-serveren siden man ikke trenger oppslag av hverken brukernavn eller passord.

[kyrsjo]

Joda, men det krever mer å spoofe en maskin som allerede er på, da den stadig vil svare på requests om ip->MAC konvertering. (ARP) Ikke umulig, men ikke heeelt lett.

[JBlack]

Ville det vært mulig å kjøre NFS via ssh/ssl tunneling?

[stigfjel]

Kjør NFS på en Solaris-boks. Sun Solaris skal ha NFS-funksjonalitet som ikke fins noe annet sted.

Endret 10. november 2004 av stigfjel

[kyrsjo]

Som hva? Personlig lurer jeg mest på om debian sarge støtter NFS v 3 - v2 (woody) suger ang. ytelse....

[stigfjel]

Som hva? Personlig lurer jeg mest på om debian sarge støtter NFS v 3 - v2 (woody) suger ang. ytelse....

Som sagt, jeg vet lite om NFS. Men NFS-funksjoaliteten til Sun Solaris er en av grunnene til at NTNU kjører relativt hardt på Solaris.

[kyrsjo]

Joda. Men når klientene er linux - får du denne funksjonaliteten?

 

Rent bortsett fra sikkerhetsgreiene ruler NFS!

 

Hørt nfsv4 har en eller annen støtte for autentifikasjon.

[stigfjel]

Mener å huske at det var Sun som først kom med NFS. Og hvis det stemmer, vil de nok holde de godbitene for seg selv. De ekstrafunksjonene Sun måtte ha, er jeg ikke sikker på om vi vil se for Linux. Men Solaris skal snart bli open-source, så vi får vente og se.

[kyrsjo]

Men hvilke ekstrafunksjoner er det snakk om?!?

[stigfjel]

Men hvilke ekstrafunksjoner er det snakk om?!?

Som sagt, jeg har ikke brukt NFS, men noen som kjenner systemet på NTNU har sagt at Solaris brukes bl.a. til NFS, da Solaris visstnok skal takle NFS på en måte ingen andre Unix/linux-distroer skal være i stand til. Når jeg vet eksakt hva det er, skal jeg komme tilbake.

Endret 10. november 2004 av stigfjel

[Langbein]

Ettersom jeg har forstått har Solaris støtte for Secure RPC som bruker public/private key og DES-kryptering, slik at NFS (som baserer seg på RPC) blir endel sikrere.

 

Vi må nok belage oss på å vente en liten stund til NFSv4 er ferdig på Linux, før vi får en fullgod og sikker NFS out of the box. Hvis man bare leser de første linjene på http://nfs.sourceforge.net/ kan man lett få inntrykk at dette allerede er på plass (står at versjon 2,3 og 4 støttes av linux 2.6), men det er endel funksjonalitet som ikke er på plass ennå, blant annet sikkerhet. Når alt dette er ferdig og distroer leveres med alt inkludert, ser det meget lovende ut. Flere ulike former for autentisering skal støttes, både Kerberos-basert og en simplere mekanisme som trolig minner om Solaris sin løsning.

[stigfjel]

Det som er betenkelig er at det ikke har blitt implementert ordentlig sikkerhet i NFS for andre plattformer enn Solaris før. Så dette er på høy tid.

Endret 11. november 2004 av stigfjel

[kyrsjo]

Det viktigste er vel egentlig autentifikasjon av hvem som får kople seg opp eventuellt hvem som får tilgang (kombinere med LDAP?)