On Wednesday 12 January 2011 à 10:22:34AM, Yves Rutschle wrote: > On Wed, Jan 12, 2011 at 08:12:49AM +0000, moi-meme wrote: > > Comme précisé dans le titre on n'est pas vendredi :-) > > > > J'ai installé des montages NFS entre mes divers PC sous Linux. > > > > Cela marche plutôt bien. > > > > Je suis tombé sur un How-To assez ancien disant que les montages NFS > > n'étaient pas sûrs et que Samba était préférable. Je ne ferais pas plus confiance à Samba qu'à NFSv3. > NFS (v3) n'est pas chiffré, et ne fait pas > d'authentification forte... il faut le savoir, mais ça ne > veut pas dire qu'on ne peut pas l'utiliser, ça dépend de > l'environnement: si tes PC sont tous administrés par une > personne de confiance, et que le réseau est également de > confiance (filaire), ça ne pose pas de problème. > > Après, NFS v4 apporte des solutions de sécurité, je ne sais > pas si c'est mieux ou moins bien que Samba. NFSv4 vient avec le support (optionnel) de Kerberos. Et Kerberos c'est bien. Mais Kerberos c'est pas non plus ce qu'il y a de plus simple. Donc avec Kerberos le client est authentifié (de manière sûre, et sans mot de passe qui circule sur le réseau), et on a la possibilité de chiffrer le flux de données. Le souci c'est que l'implémentation nunux actuelle ne supporte, aux dernières nouvelles, que des-cbc-crc (ce qui est plutôt faible). Et comme sans chiffrement, NFSv4 n'est pas beaucoup plus sûr que NFSv3, je reste perplexe (certains disent même que NFSv4 n'est qu'une blague). Si j'étais à ta place et me sentais concerné par la sécurité, je mettrais en place IPsec entre le serveur et les clients, histoire de les identifier par rapport à leurs IPs et d'empêcher des intrus de sniffer tes file handles. My two cents... PS : on me dit dans l'oreillette que des-cbc-crc n'est plus le seul algo de chiffrement disponible sur les GNU/Linux récents. Bonne nouvelle donc. -- "Free software, free society." Jérémie Courrèges-Anglas GPG key : 06A11494
Attachment:
pgpAEj0A4hQkC.pgp
Description: PGP signature