লিনাক্সের জন্য নিরাপদ নেটওয়ার্ক ফাইল সিস্টেমগুলি: লোকেরা কী করছে?

এনএফএসভি 3 বিস্তৃত, তবে ডিফল্ট সুরক্ষা মডেলটি ... অতুলনীয় । সিআইএফএস কার্বেরোস প্রমাণীকরণ ব্যবহার করতে পারে তবে পসিক্স শব্দার্থবিজ্ঞান ছাড়াই এটি একটি অ-স্টার্টার। এএফএস কখনও তারে এনক্রিপ্ট ট্র্যাফিক করেনি এবং এটি কেআরবি 4 - এবং মূলত একটি মৃত প্রকল্প। অভিনব নতুন পরীক্ষামূলক ফাইল সিস্টেমগুলি কখনই বাস্তবায়িত হয় না বা গতির দিকে মনোনিবেশ করে না (এবং যদি আপনি ভাগ্যবান হন তবে ডেটা নির্ভরযোগ্যতা) - উদাহরণস্বরূপ, লাস্টার এনএফএসভি 3 এর মতো একই ক্লায়েন্ট-বিশ্বাসের মডেল ব্যবহার করে। বাড়ির ব্যবহারের জন্য, sshfs নিফটি, তবে নিশ্চিত যে এটি স্কেল করে না।

এবং তারপরে অবশ্যই এনএফএসভি 4 আছে, সেকেন্ড = krb5p সহ। তাত্ত্বিকভাবে দুর্দান্ত, তবে দশ বছর পরে, এটি বাস্তব বিশ্বে উদ্বেগজনকভাবে অব্যবহৃত বলে মনে হচ্ছে। লিনাক্স ক্লায়েন্টটি এখনই পরীক্ষামূলক ট্যাগটি সরিয়ে নিয়েছে। এবং যদি আপনি EMC সেরেলেরা, ইসিলন ইত্যাদির দিকে নজর দেন তবে এটি সমস্ত এনএফএসভি 3। ( সেলেরার এনএফএসভি 4 সমর্থন করে তবে এটি ডকুমেন্টেশনে সত্যিই সমাহিত হয়েছে। আইসিলন স্পষ্টতই ফ্রিবিএসডি-তে আরপিসিএসএস সমর্থন যোগ করার ক্ষেত্রে কাজ করেছিল, তাই সম্ভবত এটি আসছে, কিন্তু এখন তা নেই।) আমি এই পোস্টটিকে "এনএফএসভি 4" হিসাবে ট্যাগও করতে পারি না কারণ আমি আমি এখানে নতুন এবং এটি একটি নতুন ট্যাগ হবে ।

সুতরাং, সত্যিই । তোমরা সবাই কি করছ?

যেহেতু এটি একটি নির্দিষ্ট প্রশ্ন (আপনি কী করছেন সবাই), আসুন এর উত্তর দিন: কিছুই নয়। বেশিরভাগ প্রশাসক এবং ব্যবহারকারীরা কেবল এনএফএস সুরক্ষা নিয়ে চিন্তা করবেন না, তাই প্রত্যেকে এনএফএসভি 3 ব্যবহার করে। এটি সাধারণত একটি নিয়ন্ত্রিত পরিবেশ (এই অর্থে যে কেবল সুপরিচিত মেশিনগুলি প্রথমে নেটওয়ার্কের সাথে সংযুক্ত করতে পারে)। যদি কেউ অবকাঠামোগত অপব্যবহারের শিকার হয়ে ধরা পড়ে তবে তারা বরখাস্ত হয়ে যায় বা কারাগারে যায়।

আপনি যে ডেটাটির জন্য সত্যই চান না যে কেউ পড়তে সক্ষম হবেন, আপনি সেগুলি স্পষ্টভাবে এনক্রিপ্ট করুন, যেমন ফায়ারফক্স পাসওয়ার্ড ডেটাবেস, এসএসএস কী বা পিজিপি কী। আপনি এটি করেন কারণ আপনি জানেন যে প্রশাসকগুলি ফাইল সার্ভারে সেগুলি পড়তে পারে, সুতরাং যাইহোক, নেটওয়ার্ক ফাইল সিস্টেম সুরক্ষা কোনও উপকারে আসবে না।

আপনি এখানে দুটি প্রশ্ন জিজ্ঞাসা করছেন বলে মনে হচ্ছে:

আমরা আসলে কী ব্যবহার করছি? এবং এটি কি করে?

কি আমি করছি আসলে ব্যবহার হয়েছে CIFS, আমার ব্যবহার-মামলায় POSIX কম গুরুত্বপূর্ণ, তাই আমি কোনো সমস্যা হয় নি ছিল। এনএফএস 3 এমন অঞ্চলগুলিতে ব্যবহৃত হয় যেখানে সুরক্ষা গুরুত্বপূর্ণ নয়, যেমন আমার এসএলইএস ইনস্টল সার্ভার। এবং পরিশেষে, সাধারণ ব্যবহারকারী-ভূমি ভাগ করে নেওয়ার জন্য sshfs / gvfs। ওয়্যারলাইন এনক্রিপশনটিকে প্রয়োজনীয় বলে মনে করা হয় না, সুতরাং এটি আমাদের জন্য অর্থবোধক কারণ নয়।

অন্য প্রশ্নের হিসাবে, আপনি যা খুঁজছেন তার জন্য ছয়টি প্রধান প্রয়োজনীয়তা রয়েছে বলে মনে হচ্ছে:

1. তারে ট্র্যাফিক এনক্রিপ্ট করে।
2. প্রমাণীকরণ এনক্রিপ্ট।
3. পিক্সিক শব্দার্থক।
4. সার্ভার-ভিত্তিক এসিএলগুলির শক্তিশালী প্রয়োগকরণ।
5. ইউজারল্যান্ড নয়।
6. আসলে ব্যবহার করা হয়।

আমি সন্দেহ করি 5 এবং 6 এর পয়েন্টগুলি এখানে হত্যাকারী হবে, তবে এখানে চলে (এছাড়াও, এটি এমন একটি পয়েন্ট যা সত্যই কোনও টেবিলটি কার্যকর হবে তবে মার্কডাউন / স্ট্যাকএক্সচেঞ্জ এটি সমর্থন করে না)।

এনএফএসভি 3 + আইপিসেক

1. তারে এনক্রিপ্ট করা, পাস
2. কোনও এনক্রিপ্ট করা প্রমাণীকরণ নয়, ব্যর্থ
3. পিক্সিক শব্দার্থ, পাস
4. সার্ভার-ভিত্তিক এসিএলগুলির কোনও দৃ enforcement় প্রয়োগকারী, ব্যর্থ
5. ইউজারল্যান্ড না, পাস
6. আসলে ব্যবহার করা হয়, পাস

NFSv4 + Krb + IPSec S

1. তারে এনক্রিপ্ট করা, পাস
2. এনক্রিপ্ট করা প্রমাণীকরণ, পাস
3. পিক্সিক শব্দার্থ, পাস
4. সার্ভার-ভিত্তিক এসিএলগুলির শক্তিশালী প্রয়োগ, পাস
5. ইউজারল্যান্ড না, পাস
6. আসলে ব্যবহার করা হয় না, ব্যর্থ

হয়েছে CIFS

1. তারে এনক্রিপ্ট করা হয়নি, ব্যর্থ
2. এনক্রিপ্ট করা প্রমাণীকরণ
3. প্যাসিক্স শব্দার্থবিজ্ঞান, পাস (সাম্বা এবং কার্নেল এখন, উইন্ডোজের এনটি দিনের পর থেকে পসিক্স স্তর রয়েছে)
4. সার্ভার-ভিত্তিক এসিএলগুলির শক্তিশালী প্রয়োগ, পাস
5. ইউজারল্যান্ড না, পাস
6. আসলে ব্যবহার করা হয়, পাস

সিআইএফএস + আইপিসেক

1. তারে এনক্রিপ্ট করা, পাস
2. এনক্রিপ্ট করা প্রমাণীকরণ
3. প্যাসিক্স শব্দার্থক, পাস (সাম্বা এবং কার্নেল এখন)
4. সার্ভার-ভিত্তিক এসিএলগুলির শক্তিশালী প্রয়োগ, পাস
5. ইউজারল্যান্ড না, পাস
6. আসলে ব্যবহার করা হয় না, ব্যর্থ

SSHFS

1. তারে এনক্রিপ্ট করা, পাস
2. এনক্রিপ্ট করা প্রমাণীকরণ, পাস
3. পিক্সিক শব্দার্থ, পাস
4. সার্ভার-ভিত্তিক এসিএলগুলির শক্তিশালী প্রয়োগ, পাস
5. ইউজারল্যান্ড, ব্যর্থ
6. আসলে ব্যবহার করা হয়, পাস

এএফপি / NetATalk

1. তারে এনক্রিপ্ট করা, ব্যর্থ
2. এনক্রিপ্ট করা প্রমাণীকরণ, পাস
3. পিক্সিক শব্দার্থ, পাস
4. সার্ভার-ভিত্তিক এসিএলগুলির শক্তিশালী প্রয়োগ, পাস
5. ইউজারল্যান্ড না, পাস
6. আসলে ব্যবহার করা হয়, ব্যর্থ

এবং আমি সেখানে বিতরণ ফাইল-সিস্টেমগুলি স্পর্শ করছি না। কেবল একটি জিনিস নেই যা এটি করে it কিছু নিকটে আসে (সিআইএফএস) এবং কিছু ইতিমধ্যে রয়েছে তবে কেউ এগুলি ব্যবহার করে না (এনএফএস 4 + আইপিসেক, সিআইএফএস + আইপিসেক)। কোনও কারণে একটি সুরক্ষিত নেটওয়ার্ক ফাইল সিস্টেম এমন একটি বিষয় যা বছরের পর বছর ধরে প্রচুর আপসকে কেন্দ্র করে চলেছে।

লিনাক্স এবং উইন্ডোজ উভয় ক্লায়েন্টের সাথেই আমি বছরের পর বছর ধরে প্রোডাকশনে ওপেনফেস ব্যবহার করছি। এটি দুর্দান্তভাবে কাজ করে, একটি সক্রিয় বিকাশকারী সম্প্রদায় রয়েছে এবং বিগত কয়েক বছর ধরে বিভিন্ন লিনাক্স ডিস্ট্রোওর এতে প্যাকেজিং অন্তর্ভুক্ত করার কারণে এটি ইনস্টল ও পরিচালনা করা অনেক সহজ হয়েছে। এটির ওয়ার্ট রয়েছে তবে আমি খুঁজে পেয়েছি যে তারা আরও প্রশাসনিক নমনীয়তা, ক্লায়েন্ট এবং সার্ভারকে ধীর লিঙ্কগুলি দ্বারা বিভক্ত করার ক্ষমতা, অফসাইট ব্যাকআপের স্বাচ্ছন্দ্য এবং অন্যান্য ইতিবাচক এএফসিজম দ্বারা অফসেট হয়েছে।

বিশেষত আমার কাছে একটি জিনিস পছন্দ হয় যা এসিএলগুলি লকড করে দিয়ে ওপেন অফগুলিতে প্রোডাকশন ইন্টারনেট-মুখোমুখি ওয়েব সার্ভারগুলি পরিচালনা করে। কার্বেরো টিকিট ব্যতীত মেশিনে কোনও প্রক্রিয়া নেই - এমনকি মূল হিসাবে চলমান একটি - যা ফাইল সিস্টেমে লিখতে পারে। এই সহজ পরিমাপের কারণে আমরা কতবার আক্রমণগুলি পুরোপুরি ব্যর্থ লক্ষ্য করেছি তা গণনা করতে পারছি না।

কিছু বেশ বড় ওপেন অফ ব্যবহারকারী রয়েছে - আমার জানা সবচেয়ে বড় বাণিজ্যিক ব্যবহারকারী হলেন মরগান স্ট্যানলি।

ওপেনএফএস সম্পর্কে কীভাবে যা এখনও জীবিত এবং এর অধীনে একটি ভিপিএন কারণ এই মুহুর্তে এটির একমাত্র এনক্রিপশন হ'ল ডিইএস।

আমি দেখতে পাচ্ছি যে এই থ্রেডের অনেক লোক ডেটা লুকানোর বিষয়ে কথা বলছে, অর্থাত্ আক্রমণগুলি আপনার ডেটা সান করতে সক্ষম হয় নি। ডেটা অখণ্ডতা এবং সত্যতা সম্পর্কে চিন্তা করা সমান গুরুত্বপূর্ণ। এই এনএফএস প্যাকেটটি কি আপনার এনএফএস সার্ভার থেকে সত্যই রয়েছে? ট্রানজিটে কোনও এনএফএস প্যাকেট পরিবর্তন হয়েছে?

ভাল, আমার কাছে মনে হচ্ছে এমন বিতরণকারী ফাইল সিস্টেমগুলির মধ্যে একটি আপনার জন্য হবে you আমি পুরানো হিসাবে ওপেনএএফএফএসের সুপারিশ করতে চাই না, এখনও আইপিভি 6 সমর্থন করে না, ..

আমি নিজে গ্লাস্টারএফএসে বেশ খুশি । গ্লাস্টার বেশ পরিপক্ক, ঠিকঠাক অভিনয় করে এবং একটি ভাল বৈশিষ্ট্য সেট রয়েছে। যাইহোক, সম্প্রতি আইআরসি-তে আলোচিত হিসাবে, গ্লাস্টারও স্থিতিশীলভাবে আইপিভি 6 সমর্থন করে না। এই বৈশিষ্ট্যটি 3.6 বা 3.7 এর জন্য নির্ধারিত হবে।

হেকাএফএস নামে একটি প্রকল্প রয়েছে, যা গ্লাস্টারে তৈরি করে, যা আরও উন্নত প্রমাণীকরণ বৈশিষ্ট্য এবং এসএসএল যুক্ত করে। এটি ইমো অত্যন্ত ভাল নথিভুক্ত এবং খুব ভাল ডিজাইন করা হয়েছে।

অ্যালোস আপনার আগ্রহের বিষয় হতে পারে XtreemFS যা গ্লোবাল গ্রিড কম্পিউটিংয়ের জন্য ডিজাইন করা হয়েছে তাই এটি এসএসএল এবং ডিফল্টরূপে স্টাফ নিয়ে আসে। ব্যবহারের জন্য আমার পছন্দটি যদিও গ্লাস্টারের উপর পড়েছিল, যেহেতু সম্প্রদায়টি আরও সক্রিয় বলে মনে হচ্ছে এবং এটি আরও ভালভাবে নথিভুক্ত করা হয়েছে।

উভয়ই অবশ্যই পোস্টিক্স অনুগত।

আমি এনএফএস ব্যবহার করি তবে সার্ভার টু সার্ভার এনএফএস একটি ডেডিকেটেড নেটওয়ার্ক ব্যাকবোন ধরে সম্পন্ন হয় যাতে এনক্রিপশন প্রয়োজন হয় না এবং প্রমাণীকরণ অর্থহীন সাজানোর মতো। কেবলমাত্র আইপি উপর ভিত্তি করে একটি সার্ভারে একটি নির্বাচিত ডিরেক্টরি ভাগ করতে প্রতিটি রফতানি সেট করুন।

সমস্ত যথাযোগ্য সম্মানের সাথে, আপনি এই সমস্যাটিকে পুরোপুরি ভুল উপায়ে দেখছেন এবং কয়েক ঘন্টা আপনার কনসোল থেকে ফিরে আসা উচিত।

খুব সুন্দর সমস্ত স্টোরেজ io এনক্রিপ্ট করা হয়েছে কারণ এটি অ্যাবস্ট্রাকশন স্ট্যাকের সেই স্তরের কোনও বিষয় নয়। এতে সন্দেহ? আপনার ব্রোকেড ফাইবার সুইচে একটি ট্যাপ লাগান এবং আপনি দেখতে পাবেন যে ফাইবার চ্যানেল যেমন ইস্কি এবং এনএফএস-এর মতো, সমস্তই একটি এনক্রিপ্ট করা জগাখিচুড়ি - ডিজাইন অনুসারে। এটি কোনও মাঝারি সমস্যা, কোনও স্টোরেজ প্রোটোকল সমস্যা নয় issue উদাহরণস্বরূপ, নিরাপদ এবং এনক্রিপ্ট করা এনএফএস চান? এনপিএস ক্লায়েন্ট এবং সার্ভারের মধ্যে ipsec / ssl / tls বা খাঁটি হার্ডওয়্যার সমাধান ব্যবহার করে এনক্রিপ্ট করা পয়েন্ট তৈরি করা একটি ল্যান তৈরি করেছে n