Viete mi niekdo jednoducho vysvetlit ako spravit encryptovany NFS server? potrebujem zdielat subory medzi dvoma openSUSE masinami a nechcem aby sa k niim mohol ece nekdo na sieti dostat.
hm, to je navod k High Availability NFS servru, vyzera vcelku dobre.
Ale ako zakryptovat NFS prenos, to je otazka ktora zalezi od topologie. Niekomu postaci Firewall a VPN, niekomu postaci tunelovanie portov cez ssh. A niekomu zas napriklad nahradenie NFS pomocou FUSE/SSHFS.
Inak aky tam bude planovany prenos dat? Ja len ze ak to ma byt na gigovej LANke, tak to bude znacne lenive bez krypto akceleratora. Ale to moze vyriesit CPU od VIA na File Servri ktoreho Padlock Engine je nadherne podporene aj v Linuxe.
Prenos dat je planovany tak do 10MB/s ale kludne aj ovela menej. Zapojil som doma TV na stary comp a kedze má len 4GB HDD tak potrebujem spravit na rodinom desktope zdielanie filmov. Cela sieť je za routerom ale ten neni u mna. Potrebujem spravit aby sa nikdo z nasej siete alebo aj z vonku bez spraveho key alebo hesla nedostal k tym zdielanym suborom.
Od povodneho zameru cryptovat komunikaciu asi upustim kvoli tomu ze ta mašinka pod TV je už riadne stará. Postačí ked tam bude nejaky druh autentifikacie ze dany comp je naozaj dany comp.Cize rozbehat NFS a Kerberos aj ked ece nevem ako. Ale keby ste niekdo vedeli jak spravit to cryptovanie NFS komunikacie budem naozaj vdacny.
Otazkou je ci susienky trojhlaveho psa (kerberos) ochrania pred odposluchom na sieti. Teda ani nie. Rovnako to moze byt aj v pripade hociktoreho sietoveho suboroveho systemu a komunikacii len medzi urcitymi strojmi.
Takze v tomto pripade je naozaj najvhodnejsie urobit si vlastnu domacu siet schovanu za routerom. Je to sice investicia navrch, ale vyplati sa.
Len pozor na IPcky a routing.
PS.: riesenim ktore nahradi HW Router moze byt kryptovana VPN alebo tunelling portov cez oenssl (popripade rovno aj VPN v openssl), ale to by mohol ten stary prehravac koli jeho vykonu. A otazkou moze byt aj ci by to v pripade nespravne nastavenej komunikacie nezvysilo prietok cez internet, aj to sa stava. Clovek sa pripoji na svoju vonkajsiu IPku a ak nema flat, tak si o dost priplati za ten preklep.
Asi radsej pouzijem SSHFS. Akurat neviem ako spravit aby mohol ten mediabox pristupovat len do urcitej zlozky. Rozmyslal som nad tym ze vytvorim pre pripojenie z mediaboxu zvlast uzivatelsky ucet ale ako spravit aby mal pravomoci pristupovat len do svojho home adresara a adresara s filmamy ked vacsinu veci na compe mam (a musim mat) read aj pre group a others.
to je uz zbytocne i ked si mozes dat daneho uzivatela do chrootu.
PS.: ono je pochopitelne ze mas vecsinu veci na kompe s read aj pre skupinu a ostatnych, ved napriklad taky /bin/sh je dokonca aj spustatelny pre vsetkych bez vynimky.
Ak sa niekdo nahodou nejak nekedy dostane ku ssh-klucu (heslo k rootovskemu uctu na mediaboxe bude mat viacej ludi) k danemu uzivatelovi tak potom to uz neni zbytocne.
Tym chces povedat ze pouzivas iba ucet pre uzivatela root? Inak si tvoj povzdych neviem vysvetlit.
Sice nechapem preco ti bezi media box s permanentne prihlasenym rootom ale ani nerozumiem preco ta nenapadlo pripajat sa cez ssh na uzivatela s okresanymi pravami (a navyse s shellom scponly alebo podobnym).
Aby som to uviedol na pravú mieru. Mediabox nebezí na root ucte stále.
Ide to o nieco iné. Kazdý kdo bude mat pristup k mediaboxu bude mat pristup na citanie do celeho mojho filesystem a tomu treba zabrániť!
Comu zabranit? Ja tomuto naozaj nerozumiem. Ty mas vsetky (aj privatne data) citatelne pre vsetkych?
Keby si sa chcel z toho media boxu pripajat na tvoj stroj ako root (a de facto tym pochovat vsetky bezpecnostne standardy), tak tvoje obavy pochopim. Ale inak ich nedokazem pochopit. Jedine ze by si nevedel ktore tvoje data budes chciet utajit a mal by si ich vsetky pre kazdeho na citanie.
Takze skus napisat co chces dosiahnut a co do toho chces investovat. Inak sa tu budeme bavit len v invektivach.
Nie samozrejme ze nemam secky dáta citatelne pre kazdeho ale vacsina je a musi byt na read pre vsetkých aby mohli seci ktory maju ucet na tom compe si ich volne prezerat to ale nemá platit pre uzivatelov pripajajucich sa z mediaboxu.
Nakoniec sa asi vrátim k tomu NFS. len rozebehat tu autentifikaciu aby sa mi tam nikdo iný nemohol napojit
Ak nechces aby si pozerali "ostatni" tvoje data, tak zober pravo citat pre nich. Normalne je toto uplne zbytocny ukon nakolko osobne data su v domacom priecinku a tam ma pravo len jeho vlastnik. Teda pokial to on sam nepokazi.
Inak, urobit to mozes kludne aj cez NFS. Len Ti zopakujem ze autentifikacia ta neochrani pred odposluchom.
Problem je v tom ze odpocute data chranene cez SSL su utocnikovi na dve veci. Kdezto data odpocute z NFS bez ochrany obsahuju surove bloky zo suborov.
Inak uz som cital o vselicom, aj o pouziti tekuteho dusika za ucelom uchovania obsahu RAM, o vzdialenom pristupe cez FireWire a s tym pretriasanym vseobecnym pristupom cez DMA a euforiu z prvych LCD monitorov ktore nebolo mozne tak lahko odpocuvat ako to bolo pri CRT, ... . Ale nepocul som to.
PS.: ak si nevazis privatnu topologiu, tak pouzi aspon VPN cez SSL. Alebo, rob ako chces. Su to tvoje data, ja si moje chranim inak.
Ale dík. Zaujimavé čítanie. Inak posledne som sa zabával keď niekto zahlásil že aj SSH umožňuje nápovedu pri odposluchu (dĺžka hesla a pravdepodobná vzdialenosť kláves sa prejaví na aktuálnej frekvencii a počte úderov) kedže SSH zasiela každú klávesu v inom packete. Pripomenulo mi to roky známy odposluch pomocou uší, stačilo popočúvať kláesnicu.
http://www.howtoforge.com/high_availability_nfs_drbd_heartbeat
Ale ako zakryptovat NFS prenos, to je otazka ktora zalezi od topologie. Niekomu postaci Firewall a VPN, niekomu postaci tunelovanie portov cez ssh. A niekomu zas napriklad nahradenie NFS pomocou FUSE/SSHFS.
Inak aky tam bude planovany prenos dat? Ja len ze ak to ma byt na gigovej LANke, tak to bude znacne lenive bez krypto akceleratora. Ale to moze vyriesit CPU od VIA na File Servri ktoreho Padlock Engine je nadherne podporene aj v Linuxe.
Od povodneho zameru cryptovat komunikaciu asi upustim kvoli tomu ze ta mašinka pod TV je už riadne stará. Postačí ked tam bude nejaky druh autentifikacie ze dany comp je naozaj dany comp.Cize rozbehat NFS a Kerberos aj ked ece nevem ako. Ale keby ste niekdo vedeli jak spravit to cryptovanie NFS komunikacie budem naozaj vdacny.
inac o kerberos a NFS sa dost popisalo na abclinuxu
Takze v tomto pripade je naozaj najvhodnejsie urobit si vlastnu domacu siet schovanu za routerom. Je to sice investicia navrch, ale vyplati sa.
Len pozor na IPcky a routing.
PS.: riesenim ktore nahradi HW Router moze byt kryptovana VPN alebo tunelling portov cez oenssl (popripade rovno aj VPN v openssl), ale to by mohol ten stary prehravac koli jeho vykonu. A otazkou moze byt aj ci by to v pripade nespravne nastavenej komunikacie nezvysilo prietok cez internet, aj to sa stava. Clovek sa pripoji na svoju vonkajsiu IPku a ak nema flat, tak si o dost priplati za ten preklep.
PS.: ono je pochopitelne ze mas vecsinu veci na kompe s read aj pre skupinu a ostatnych, ved napriklad taky /bin/sh je dokonca aj spustatelny pre vsetkych bez vynimky.
Sice nechapem preco ti bezi media box s permanentne prihlasenym rootom ale ani nerozumiem preco ta nenapadlo pripajat sa cez ssh na uzivatela s okresanymi pravami (a navyse s shellom scponly alebo podobnym).
Ide to o nieco iné. Kazdý kdo bude mat pristup k mediaboxu bude mat pristup na citanie do celeho mojho filesystem a tomu treba zabrániť!
Keby si sa chcel z toho media boxu pripajat na tvoj stroj ako root (a de facto tym pochovat vsetky bezpecnostne standardy), tak tvoje obavy pochopim. Ale inak ich nedokazem pochopit. Jedine ze by si nevedel ktore tvoje data budes chciet utajit a mal by si ich vsetky pre kazdeho na citanie.
Takze skus napisat co chces dosiahnut a co do toho chces investovat. Inak sa tu budeme bavit len v invektivach.
Nakoniec sa asi vrátim k tomu NFS. len rozebehat tu autentifikaciu aby sa mi tam nikdo iný nemohol napojit
Inak, urobit to mozes kludne aj cez NFS. Len Ti zopakujem ze autentifikacia ta neochrani pred odposluchom.
Uz si pocul o odposluchu EMI z DVI kabla?
Inak uz som cital o vselicom, aj o pouziti tekuteho dusika za ucelom uchovania obsahu RAM, o vzdialenom pristupe cez FireWire a s tym pretriasanym vseobecnym pristupom cez DMA a euforiu z prvych LCD monitorov ktore nebolo mozne tak lahko odpocuvat ako to bolo pri CRT, ... . Ale nepocul som to.
PS.: ak si nevazis privatnu topologiu, tak pouzi aspon VPN cez SSL. Alebo, rob ako chces. Su to tvoje data, ja si moje chranim inak.
Ale dík. Zaujimavé čítanie. Inak posledne som sa zabával keď niekto zahlásil že aj SSH umožňuje nápovedu pri odposluchu (dĺžka hesla a pravdepodobná vzdialenosť kláves sa prejaví na aktuálnej frekvencii a počte úderov) kedže SSH zasiela každú klávesu v inom packete. Pripomenulo mi to roky známy odposluch pomocou uší, stačilo popočúvať kláesnicu.