Sujet : Re: /etc/exports option unsecure
De : francois.patte (at) *nospam* mi.parisdescartes.fr (François Patte)
Groupes : fr.comp.os.linux.configurationDate : 10. Nov 2022, 18:26:46
Autres entêtes
Organisation : A noiseless patient Spider
Message-ID : <tkj8o7$j4fc$1@dont-email.me>
References : 1 2
User-Agent : Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Thunderbird/91.9.0
Le 05/11/2022 à 15:16, Marc SCHAEFER a écrit :
François Patte <francois.patte@mi.parisdescartes.fr> wrote:
Je cherche à faire un montage nfs de répertoire mais, dans un premier
temps le montage a été refusé pour cause de port illégal (1024).
Tout cela était parce que, dans un réseau UNIX, les différentes machines
n'avaient que root qui avait le droit de réserver les ports en-dessous
de 1024: donc certains services `authentifiaient' que root était en
face avec ce simple test.
Quels sont les risques?
Je dirais que si tu mets en place du NFS en UDP (classique) c'est
globalement risqué, le spoofing étant facile en UDP.
Que le port source soit < 1024 ou non n'y change rien.
Idées:
- utiliser NFSv4/TCP, et firewaller pour n'autoriser que
certaines adresses IP
- utiliser un VPN chiffrant
- utiliser un autre protocole plus moderne et vraisemblablement
chiffré et authentifié (glusterfs, sshfs, etc)
Oui mais pour glusterfs je ne peux pas installer un système de fichier sur l'ordi distant.
sshfs n'a pas l'air de faire bon ménage avec thunar/xfce et certains utilisateurs ne fonctionnent qu'en "graphique"
Après, on peut aussi se poser la question de pourquoi un partage de
fichier est nécessaire alors qu'une application web, par exemple, peut
aussi utiliser des API de stockage.
Je ne comprends pas cette remarque que je suis tout intéressé à découvrir.
-- François PatteUniversité Paris Descartes
/etc/exports option unsecure
Re: /etc/exports option unsecure