У меня есть сервер NFS Debian во внутренней сети, который я хочу защитить от модификации злонамеренными агентами. Я хочу что-то более сильное, чем правила брандмауэра для каждого IP или Mac. Все клиенты - linux.
Из того, что я прочитал / просмотрел, использование kerberos с NFS требует аутентификации каждого пользователя, которая, в свою очередь, требует, чтобы пользователи входили в систему через KDC. Некоторые пользователи сервера мобильные, так что это малопривлекательный вариант.
Я до сих пор не рассматривал VPN как вариант, в основном из-за снижения производительности.
Как проще всего добиться этого?
Обратите внимание: я не слишком озабочен предотвращением перехвата сетевого трафика, а только изменением данных.
Есть приятно статья Чарльза Фишера о том, как использовать stunnel для защиты трафика NFS. С помощью взаимного подтверждения TLS (сертификаты клиент + сервер) вы можете получить независимую от IP защиту.
Вдохновленная этим документом, рабочая группа IETF nfs запустила проект NFS-over-TLS, который в настоящее время находится в стадии разработки и поддерживается многими реализациями клиент / сервер nfs.