NFS sicher ?
Dietmar Goldbeck
dietmar.goldbeck at acm.org
Sat Mar 9 08:35:08 CET 2002
On Fri, Mar 08, 2002 at 02:17:12PM +0100, Johannes Goecke wrote:
> Hi,
>
> ich habe folgendes Problem :
>
> 2 Rechner (Debian woody),
> einer macht Internet-Dienste (Web,Mail)
> ein anderer macht Subnetz-Dienste (File,Backup...)
> beide stehen nebeneinander.
>
> Ich möchte, daß der File-Server den Benutzern
> zugriff auf den Web-Bereich geben kann.
>
Warum installierst Du nicht auf beiden Maschinen Samba? SMB ist zwar
auch nicht gerade ein sicheres Protokoll, aber die Worte "NFS" und
"sicher" in einem Text zu verwenden wird allgemein als grober Unfug
angesehen.
> Dazu wollte ich beide mit einer zusätzlichen
> Netzwerkkarte und Crosslinkkabel (z.B. 192.168.x.x)
> versehen und auf dem Web-Server die Verzeichnisse
> per NFS exportieren.
>
> (der File-Server soll sich dann mit Samba um
> die Freigabe an die Benutzer kümmern)
>
> wie sollte ich die Rechner einrichten, damit das
> ganze einigermaßen sicher (wird.
>
> meine Idee wäre auf dem NFS-Export Rechner
> mit iptables einen Paket filter aufzusetzen, der
> alles was mit NFS (port 111) zu tun hat nur über die
> 2. Netzwerkkarte zu erlauben.
>
Das ist nicht nur Port 111. Das ist auch 2049/udp
NFS ist einer der natürlichen Feinde von Paketfiltern
> macht das soweit Sinn oder gibts bessere Lösungen?
ich würde andere Zugriffswege bevorzugen, und von den
nicht allzu unsicheren einen für die Benutzer praktischen
auswählen.
--
Alles Gute / best wishes
Dietmar Goldbeck E-Mail: dietmar.goldbeck at acm.org
Reporter (to Mahatma Gandhi): Mr Gandhi, what do you think of Western
Civilization? Gandhi: I think it would be a good idea.
More information about the Linux
mailing list