Мы, наконец, получили последних из наших непокорных пользователей Windows 7 к Windows 10 благодаря недавнему прекращению поддержки со стороны MS, поэтому теперь все предприятие - это либо Ubuntu 18.04, либо Windows 10.
Поскольку в Windows 10 есть клиент NFS, вопрос теперь в том, следует ли отказаться от SAMBA в пользу NFS.
В частности, существует ли какая-либо причина для сохранения SAMBA теперь, когда все наши клиенты Windows поддерживают NFS?
SMB 3.xx имеет лучшую настроенную производительность по сравнению с «обычным» TCP-подключением и имеет такие функции, как RDMA и многоканальная поддержка, которые Microsoft не реализовала со «своим» (фактически - лицензированным) клиентом NFS.
Блок сообщений сервера (SMB), протокол, используемый программным обеспечением Samba, может быть более легко развернут с достаточной безопасностью. Сетевая файловая система, сокращенно NFS, в шутку получила название «No File Security». Это шутливое название, но «Без защиты на уровне файлов» может иметь несколько точных значений. Другими словами, безопасность NFS основана на совместном использовании раздела, а не отдельного файла, поэтому разрешения на уровне файлов не применяются протоколом NFS.
Насколько я знаю, сервер NFS может обращать внимание на файлы и отклонять недопустимые запросы. Однако не все программное обеспечение NFS может это делать. Протокол имеет тенденцию к тому, что клиент запрашивает блок данных на диске, и сервер может выполнить этот запрос, прочитав блок с диска, не обязательно обращая внимание на то, частью какого файла является этот блок.
Даже если вы узнали, что реализация NFS безопасна, что предотвращает возможность внесения изменений в будущем, что приведет к менее безопасной реализации / развертыванию NFS? Если у вас есть проблемы с безопасностью, то ответ на такой вопрос может оказаться очень полезным.
С SMB люди совместно используют каталоги, а не разделы. Это может помочь вам быть уверенным в том, что вы предоставляете общий доступ только к нужному каталогу, а не к другим каталогам, которые расположены в другой части иерархии диска.
Изменить: вот и новый претендент. В комментарии к этому ответу утверждалось, что это нецелесообразно. Итак, я искал проверенную временем документацию, которая могла бы подтвердить это. И я легко нашел материал, подтверждающий утверждения из моего ответа:
Прежде всего, "Secure Networks Inc." опубликовал «Рекомендации по безопасности» от 7 марта 1997 г. под названием «4.4BSD NFS File Handles». (Эта гиперссылка с веб-сайта OpenBSD: SecList.org BugTraq Mailing List Archive from 1997: 4.4BSD NFS File Handles показывает то же самое, что было опубликовано как часть старого списка рассылки, но добавляет заголовок. PacketStormSecurity: рекомендации по работе с файлами BSD SNI также показывает тот же документ.)
В этой статье обсуждается блочная природа того, как NFS обслуживает данные (и, вероятно, это источник моего понимания этой конкретной уязвимости).
Этот документ размещен в нескольких организациях. Вот другой отчет, очевидно, совершенно не связанный с этим документом: части "Почему NFS - отстой", "Олаф Кирч" из "SUSE / Novell Inc." okir@suse.de сказать:
«NFS не заботится о том, экспортируете ли вы reiser, ext3 или XFS, CD или DVD. Прямым следствием этого является то, что NFS нужен довольно общий механизм для идентификации объектов, находящихся в файловой системе». ... «Только серверу необходимо понимать внутренний формат дескриптора файла». ... "Linux представил концепцию кэша каталогов, он же dcache. Запись в dcache называется dentry" ... "практически все функции на уровне VFS ожидают dentry в качестве аргумента вместо (или в дополнение к) объекту inode, который они использовали ". «Это сделало вещи интересными для сервера NFS, потому что информации inode уже недостаточно для создания чего-то, над чем уровень VFS готов работать» ... злоумышленники могут перехватить пакет с действительными учетными данными и обработать запрос NFS для выполнения их собственные гнусные торги ".
Что касается моего утверждения о нике, https://news.ycombinator.com/item?id=10967064 резервное копирование:
в 1987 году инженеры Sun знали, что NFS означает «отсутствие защиты файлов».
Первый экран показывает несколько различных уязвимостей, в том числе доверие к кому-либо на основе имени хоста, о котором сообщает клиентский компьютер.
Google Книги: цитата из «Практического руководства по Ubuntu Linux». ноты:
Безопасность NFS по умолчанию практически отсутствует (распространенная шутка состоит в том, что NFS означает «Нет безопасности файлов» или «Кошмарная файловая система»), поэтому такой доступ не должен быть разрешен за пределами вашей сети для компьютеров, которым вы не доверяете.
Раздел eTutorials.org о конфигурации NFS ноты:
Если вы монтируете свои файловые системы через Интернет, в передаваемые файлы можно вмешаться и даже подделать их в любое время (некоторые шутят, что NFS - это сокращение от «No File Security»).