有人可以通过互联网嗅探NFS吗?


27

我想从工作中使用NFS连接到我的家庭服务器。我尝试过sshfs,但有人说它不如NFS可靠。

我知道sshfs流量已加密。但是NFS呢?有人可以嗅探我的流量并查看我正在复制的文件吗?

我在局域网中使用NFSv4,效果很好。


谁是“某些人”,他们究竟怎么说?
吉尔斯(Gilles)'所以

NFS是块级协议,对延迟很敏感。它通常与UDP一起使用,因此您可能会遇到防火墙问题。可以与TCP一起使用。我希望性能不会很好。
基思(Keith)

谢谢你们的答案。我认为我在外出时会坚持使用sshfs,但在局域网中时会使用nfs。
托马斯

3
@Keith NFS是文件级协议。iSCSI,AoE是块级协议,但不是NFS。

2
SSHFS确实是必经之路。速度实际上是您在上游/下游Internet连接上获得的速度,而ssh的开销可以忽略不计。加密的优点以及使用公/私钥和ssh-agent进行身份验证的意义重大。
罗宾·范·列文

Answers:


23

如果将NFSv4与一起使用sec=krb5p,则它是安全的。(这意味着使用Kerberos 5进行身份验证,并对连接进行加密以保护隐私。)但是,如果您将NFS v3或NFS v4与一起使用sys=system,则否,那根本就不安全。

甚至在未知漏洞的情况下,将kerberos和rpc端口暴露在整个Internet上也可能引起一些担忧。


谢谢。就一件事。是否在服务器端配置了该选项?
托马斯

1
@Tomas:通过协商,服务器和客户端都可以选择。如果要限制为仅安全连接,则绝对只能在导出选项上列出sec = krb5p。
mattdm 2011年

有些担心是轻描淡写。谁足以疯狂地在整个Internet中使用NF而无需建立隧道?
Rui F Ribeiro

15

NFS本身通常不被认为是安全的-使用@matt建议的kerberos选项是一个选项,但是如果必须使用NFS,最好的选择是使用安全的VPN并在其上运行NFS-这样,您至少可以保护不安全的人Internet上的文件系统-当然,如果有人破坏了您的VPN,您实际上是完全开放的,但是无论如何这都是通常的情况。


3

我不知道有些人是谁,但我完全不同意。sshfs大约是NFS速度的99%(经过测试),并且更健壮。它具有ssh处理Internet流量的不稳定特性而不会掉线的功能,在NFS上,您可以使用陈旧的文件句柄进行挂起。

我已经使用sshfs将主目录安装在圣何塞市位于纽约市的盒子上,并且保持连接状态,并且连续3天不间断地进行数据移动。

试试吧,您会喜欢的。


5
SSHFS确实有一些重要的缺点。在我头顶上,不支持文件锁定。在多用户环境中,这可能会给您带来麻烦-尽管如果您仅访问主目录,则可能会没事。SSHFS也不太容忍Flakey网络连接。这并不是说NFS也喜欢断开连接,但似乎能够更好地恢复而不必完全卸载远程文件系统。
Trevor Johns

2
速度取决于。我在Archer C7上运行OpenWRT,NFS的速度是sshfs的五倍。
Sparhawk

2
“速度取决于。我在Archer C7上运行OpenWRT”,这是因为sshfs受CPU限制,在某种程度上,加密是在CPU上完成的。因此,如果您将工作站连接到工作站,那应该没问题...带有MIPS或ARM的路由器是行不通的。
Thecarpy
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.