NFS Sicherheit

    Hi,


    ich habe bisher nur SMB und AFP als Protokolle benutzt und kenne es so, dass ich mich als Nutzer mit Passwort anmelden muss, wenn ich auf einen Ordner zugreifen möchte. Jetzt habe ich mal NFS gemäß dieser Anleitung (https://www.qnap.com/de-de/how…access-for-nfs-connection) ausprobiert und festgestellt, dass ich hier gar nicht nach Nutzernamen und Passwort gefragt werde, sondern einfach zugreifen kann. Gibt es hier keine Sicherungsfunktion, so dass jeder im Netzwerk einfach zugreifen kann?


    Danke!

    Jein!

    NFS exports werden über IP/Netzwerke freigegeben, d.h. nur bestimmte Hosts können zugreifen.

    Gibt man natürlich 0.0.0.0/0 ein, dann dürfen alle Hosts zugreifen.

    Die Dateirechte gehen wie unter Linux üblich über GID/UID.


    Gruss

    NFS Version 3 geht davon aus, dass vertrauenswürdige Server über ein vertrauenswürdiges Netzwerk miteinander sprechen.

    Jeder Server authentifiziert seine Benutzer und verlässt sich darauf, dass der andere Server seine Benutzer ebenfalls korrekt authentifiziert hat.

    In so einem Szenario braucht es zwischen den Servern keine Authentifizierung per Username und Passwort.

    Die Identifikation erfolgt nur über die IP-Adresse.


    Wenn die Möglichkeit besteht, dass jemand ein nicht vertrauenswürdiges System (z.B. einen PC) mit dem Netzwerk verbinden kann, ist diese Voraussetzung nicht mehr gegeben.

    Selbst die Einschränkung auf bestimmte IP-Adressen bietet dann keine echte Sicherheit, da es Wege gibt, eine fremde IP-Adresse als die eigene auszugeben. (IP Address Spoofing)

    Daher ist NFS Version 3 in solchen Situationen ungeeignet und ein Sicherheitsrisiko.


    NFS Version 4 bietet hier Abhilfe durch Einsatz von Kerberos.

    Das ist dann aber "etwas" aufwendiger zu implementieren.