montages samba/NFS

Le
moi-meme
Comme précisé dans le titre on n'est pas vendredi :-)

J'ai installé des montages NFS entre mes divers PC sous Linux.

Cela marche plutôt bien.

Je suis tombé sur un How-To assez ancien disant que les montages NFS
n'étaient pas sûrs et que Samba était préférable.

Je ne suis pas parano de la sécurité (seuls les PC du réseau interne sont
autorisés) mais y a t'il du vrai ?

Merci pour vos réponses ou éventuellement les liens indicatifs.

C Hiebel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4d2d6281$0$27529$426a74cc@news.free.fr
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Kevin Hinault
Le #23012841
--0016e646a53afaee040499a2ae88
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le 12 janvier 2011 09:12, moi-meme

Je suis tombé sur un How-To assez ancien disant que les montages NFS
n'étaient pas sûrs et que Samba était préférable.

Je ne suis pas parano de la sécurité (seuls les PC du réseau intern e sont
autorisés) mais y a t'il du vrai ?




NFSv3 était assez peu fin sur la gestion des connexions/droits/etc mais
simple a configurer.

NFSv4 corrige très bien ces défaut en ajoutant Kerberos+Chiffrement mai s est
du coup un peu plus complexe.

Merci pour vos réponses ou éventuellement les liens indicatifs.




Wikipedia :)

--0016e646a53afaee040499a2ae88
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable


<br>
Je suis tombé sur un How-To assez ancien disant que les montages NFS<br>
n&#39;étaient pas sûrs et que Samba était préférable.<br>
<br>
Je ne suis pas parano de la sécurité (seuls les PC du réseau interne sont<br>
autorisés) mais y a t&#39;il du vrai ? Merci pour vos réponses ou éventuellement les liens indicatifs.<br></bl ockquote><div><br>Wikipedia :) <br></div></div>

--0016e646a53afaee040499a2ae88--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTikqq7t78p5=
Yves Rutschle
Le #23012881
On Wed, Jan 12, 2011 at 08:12:49AM +0000, moi-meme wrote:
Comme précisé dans le titre on n'est pas vendredi :-)

J'ai installé des montages NFS entre mes divers PC sous Linux.

Cela marche plutôt bien.

Je suis tombé sur un How-To assez ancien disant que les montages NFS
n'étaient pas sûrs et que Samba était préférable.



NFS (v3) n'est pas chiffré, et ne fait pas
d'authentification forte... il faut le savoir, mais ça ne
veut pas dire qu'on ne peut pas l'utiliser, ça dépend de
l'environnement: si tes PC sont tous administrés par une
personne de confiance, et que le réseau est également de
confiance (filaire), ça ne pose pas de problème.

Après, NFS v4 apporte des solutions de sécurité, je ne sais
pas si c'est mieux ou moins bien que Samba.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
moi-meme
Le #23013271
Le Wed, 12 Jan 2011 10:40:02 +0100, Yves Rutschle a écrit :

NFS (v3) n'est pas chiffré, et ne fait pas d'authentification forte...
il faut le savoir, mais ça ne veut pas dire qu'on ne peut pas
l'utiliser, ça dépend de l'environnement: si tes PC sont tous
administrés par une personne de confiance,


confiance ? ma femme aussi est sur ce réseau :-))
Ce sont surtout les mauvaises manips que je crains. Ses accès sont
limités en ro.

et que le réseau est également de confiance (filaire),


il y a un accès WIFI avec WPA2.

Comme il y a les IP autorisées dans les /etc/export cela fait il une
sécurité supplémentaire correcte ?

ça ne pose pas de problème.



En fait il n'y a pas de données sensibles. C'est un réseau local "de
particulier"

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2d8d8c$0$18860$
Yves Rutschle
Le #23013521
On Wed, Jan 12, 2011 at 11:16:28AM +0000, moi-meme wrote:
confiance ? ma femme aussi est sur ce réseau :-))



Si elle n'est pas root, c'est pas grave.

Ce sont surtout les mauvaises manips que je crains. Ses accès sont
limités en ro.



La protection des mauvaises manips n'est pas couverte par
les aspects sécurité, que ce soit NFS ou Samba: c'est plutot
un problème de contrôle d'accès (droits en RO, c'est bien)
et de sauvegardes (car toute donnée non sauvegardée doit
être considérée comme étant perdue).

> et que le réseau est également de confiance (filaire),
il y a un accès WIFI avec WPA2.
Comme il y a les IP autorisées dans les /etc/export cela fait il une
sécurité supplémentaire correcte ?



Une fois le WPA2 cassé (ce qui indique que tu es pas attaqué
par le premier venu), je ne pense pas que la restriction aux
IP suffise. Mais WPA2 devrait suffire, surtout pour un
réseau de particulier.

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
moi-meme
Le #23014791
Le Wed, 12 Jan 2011 14:00:03 +0100, Yves Rutschle a écrit :

Une fois le WPA2 cassé (ce qui indique que tu es pas attaqué par le
premier venu), je ne pense pas que la restriction aux IP suffise. Mais
WPA2 devrait suffire, surtout pour un réseau de particulier.



j'aime bien ta réponse : rien à faire :-))

Merci.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2dd130$0$26318$
Jeremie COURREGES-ANGLAS
Le #23014951
--KDt/GgjP6HVcx58l
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Wednesday 12 January 2011 à 10:22:34AM, Yves Rutschle wrote:
On Wed, Jan 12, 2011 at 08:12:49AM +0000, moi-meme wrote:
> Comme précisé dans le titre on n'est pas vendredi :-)
>
> J'ai installé des montages NFS entre mes divers PC sous Linux.
>
> Cela marche plutôt bien.
>
> Je suis tombé sur un How-To assez ancien disant que les montages N FS
> n'étaient pas sûrs et que Samba était préférab le.


Je ne ferais pas plus confiance à Samba qu'à NFSv3.

NFS (v3) n'est pas chiffré, et ne fait pas
d'authentification forte... il faut le savoir, mais ça ne
veut pas dire qu'on ne peut pas l'utiliser, ça dépend de
l'environnement: si tes PC sont tous administrés par une
personne de confiance, et que le réseau est également de
confiance (filaire), ça ne pose pas de problème.

Après, NFS v4 apporte des solutions de sécurité, je ne sais
pas si c'est mieux ou moins bien que Samba.



NFSv4 vient avec le support (optionnel) de Kerberos. Et Kerberos c'est bie n.
Mais Kerberos c'est pas non plus ce qu'il y a de plus simple.
Donc avec Kerberos le client est authentifié (de manière sûr e, et sans mot de
passe qui circule sur le réseau), et on a la possibilité de chiff rer le flux
de données.
Le souci c'est que l'implémentation nunux actuelle ne supporte,
aux dernières nouvelles, que des-cbc-crc (ce qui est plutôt faibl e).
Et comme sans chiffrement, NFSv4 n'est pas beaucoup plus sûr que NFSv3 , je
reste perplexe (certains disent même que NFSv4 n'est qu'une blague).
Si j'étais à ta place et me sentais concerné par la sé curité, je mettrais en
place IPsec entre le serveur et les clients, histoire de les identifier par
rapport à leurs IPs et d'empêcher des intrus de sniffer tes file handles.

My two cents...

PS : on me dit dans l'oreillette que des-cbc-crc n'est plus le seul algo de
chiffrement disponible sur les GNU/Linux récents. Bonne nouvelle donc.

--
"Free software, free society."
Jérémie Courrèges-Anglas
GPG key : 06A11494

--KDt/GgjP6HVcx58l
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (OpenBSD)
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=Yute
-----END PGP SIGNATURE-----

--KDt/GgjP6HVcx58l--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Papinux
Le #23015131
Le 12 Jan 2011 08:12:49 GMT, moi-meme a écrit :

Comme précisé dans le titre on n'est pas vendredi :-)

J'ai installé des montages NFS entre mes divers PC sous Linux.

Cela marche plutôt bien.

Je suis tombé sur un How-To assez ancien disant que les montages NFS
n'étaient pas sûrs et que Samba était préférable.

Je ne suis pas parano de la sécurité (seuls les PC du réseau intern e sont
autorisés) mais y a t'il du vrai ?

Merci pour vos réponses ou éventuellement les liens indicatifs.



Salut,

pour les montages distants (tout serveur avec openssh-server <->
client Linux), je n'utilise plus que sshfs.

Y'a pas à dire, c'est facile à faire et ça passe par ssh (donc
chiffré).

Doc sur http://doc.ubuntu-fr.org/sshfs

A+

--
Px

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
moi-meme
Le #23015711
Le Wed, 12 Jan 2011 18:40:03 +0100, Papinux a écrit :

pour les montages distants (tout serveur avec openssh-server <-> client
Linux), je n'utilise plus que sshfs.



je suis en local mais merci pour le tuyau.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2e099b$0$7769$
Yves Rutschle
Le #23016061
On Wed, Jan 12, 2011 at 08:05:47PM +0000, moi-meme wrote:
> pour les montages distants (tout serveur avec openssh-server <-> client
> Linux), je n'utilise plus que sshfs.
je suis en local mais merci pour le tuyau.



En distant sur l'Internet, en local sur un réseau
potentiellement malicieux à cause d'un wifi non controlé ou
d'un virus sur un poste, la différence est souvent moins
grande qu'on ne veut bien le croire...

Y.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
moi-meme
Le #23016901
Le Wed, 12 Jan 2011 22:50:01 +0100, Yves Rutschle a écrit :

En distant sur l'Internet, en local sur un réseau potentiellement
malicieux à cause d'un wifi non controlé ou d'un virus sur un poste, la
différence est souvent moins grande qu'on ne veut bien le croire...



Peut-être une limitation pas la MAC adresse à ce moment là si on veut
être vraiment pur ?
le paquet hostapd le permettrait mais est-ce nécessaire ?

Comme pour une assurance non prise : je peux pleurer après :-((

À coté de moi il y a tant de réseaux Wifi mal protégés ... que cela me
protège.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2eb95d$0$21511$
Publicité
Poster une réponse
Anonyme