Если я понимаю, как это работает, безопасность NFS зависит от того, что клиентам можно доверять.
Меня беспокоит, что одни пользователи будут получать доступ к файлам от других. Да, root_squash опцию запретить пользователю root на клиентах для доступа к файлам, но если у кого-то есть привилегии root на любом клиенте, он может su для любого пользователя, а затем получить доступ к файлам, которые они хотят.
Сейчас я экспортирую файлы по всей локальной сети. Я думаю об экспорте только в сетевую группу доверенных клиентов - но, вероятно, будет сложно поддерживать это, и это лишь немного скрывает проблему, проблема все еще сохраняется, если какой-то доверенный клиент получит root-доступ.
NFS - это дыра в безопасности при доступе к файлам, и вы ничего не можете сделать, чтобы ее уменьшить. Лучшее, что вы можете сделать, - это разрешить экспорт только доверенным клиентам, как вы описали, и, при желании, использовать правила брандмауэра, чтобы предотвратить проникновение других людей и разговоров с вашим сервером NFS (даже если они теоретически не смогут делать все, что вы можете также убедитесь, что они заблокированы).
Если вы используете исключительно NFSv4, вы можете Керберизация вашей среды NFS, который предлагает несколько лучших вариантов безопасности с точки зрения аутентификации клиентов, но работа по поддержанию среды Kerberos, вероятно, равна (или больше) поддержанию списков экспорта сетевых групп - если вы все равно используете Kerberos, хотя это может быть лучшим решением для тебя.