montages samba/NFS
Le
moi-meme

Comme précisé dans le titre on n'est pas vendredi :-)
J'ai installé des montages NFS entre mes divers PC sous Linux.
Cela marche plutôt bien.
Je suis tombé sur un How-To assez ancien disant que les montages NFS
n'étaient pas sûrs et que Samba était préférable.
Je ne suis pas parano de la sécurité (seuls les PC du réseau interne sont
autorisés) mais y a t'il du vrai ?
Merci pour vos réponses ou éventuellement les liens indicatifs.
C Hiebel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4d2d6281$0$27529$426a74cc@news.free.fr
J'ai installé des montages NFS entre mes divers PC sous Linux.
Cela marche plutôt bien.
Je suis tombé sur un How-To assez ancien disant que les montages NFS
n'étaient pas sûrs et que Samba était préférable.
Je ne suis pas parano de la sécurité (seuls les PC du réseau interne sont
autorisés) mais y a t'il du vrai ?
Merci pour vos réponses ou éventuellement les liens indicatifs.
C Hiebel
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/4d2d6281$0$27529$426a74cc@news.free.fr
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Le 12 janvier 2011 09:12, moi-meme
NFSv3 était assez peu fin sur la gestion des connexions/droits/etc mais
simple a configurer.
NFSv4 corrige très bien ces défaut en ajoutant Kerberos+Chiffrement mai s est
du coup un peu plus complexe.
Merci pour vos réponses ou éventuellement les liens indicatifs.
Wikipedia :)
--0016e646a53afaee040499a2ae88
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
<br>
Je suis tombé sur un How-To assez ancien disant que les montages NFS<br>
n'étaient pas sûrs et que Samba était préférable.<br>
<br>
Je ne suis pas parano de la sécurité (seuls les PC du réseau interne sont<br>
autorisés) mais y a t'il du vrai ? Merci pour vos réponses ou éventuellement les liens indicatifs.<br></bl ockquote><div><br>Wikipedia :) <br></div></div>
--0016e646a53afaee040499a2ae88--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/AANLkTikqq7t78p5=
NFS (v3) n'est pas chiffré, et ne fait pas
d'authentification forte... il faut le savoir, mais ça ne
veut pas dire qu'on ne peut pas l'utiliser, ça dépend de
l'environnement: si tes PC sont tous administrés par une
personne de confiance, et que le réseau est également de
confiance (filaire), ça ne pose pas de problème.
Après, NFS v4 apporte des solutions de sécurité, je ne sais
pas si c'est mieux ou moins bien que Samba.
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
confiance ? ma femme aussi est sur ce réseau :-))
Ce sont surtout les mauvaises manips que je crains. Ses accès sont
limités en ro.
il y a un accès WIFI avec WPA2.
Comme il y a les IP autorisées dans les /etc/export cela fait il une
sécurité supplémentaire correcte ?
En fait il n'y a pas de données sensibles. C'est un réseau local "de
particulier"
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2d8d8c$0$18860$
Si elle n'est pas root, c'est pas grave.
La protection des mauvaises manips n'est pas couverte par
les aspects sécurité, que ce soit NFS ou Samba: c'est plutot
un problème de contrôle d'accès (droits en RO, c'est bien)
et de sauvegardes (car toute donnée non sauvegardée doit
être considérée comme étant perdue).
Une fois le WPA2 cassé (ce qui indique que tu es pas attaqué
par le premier venu), je ne pense pas que la restriction aux
IP suffise. Mais WPA2 devrait suffire, surtout pour un
réseau de particulier.
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
j'aime bien ta réponse : rien à faire :-))
Merci.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2dd130$0$26318$
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
On Wednesday 12 January 2011 Ã 10:22:34AM, Yves Rutschle wrote:
Je ne ferais pas plus confiance à Samba qu'à NFSv3.
NFSv4 vient avec le support (optionnel) de Kerberos. Et Kerberos c'est bie n.
Mais Kerberos c'est pas non plus ce qu'il y a de plus simple.
Donc avec Kerberos le client est authentifié (de manière sûr e, et sans mot de
passe qui circule sur le réseau), et on a la possibilité de chiff rer le flux
de données.
Le souci c'est que l'implémentation nunux actuelle ne supporte,
aux dernières nouvelles, que des-cbc-crc (ce qui est plutôt faibl e).
Et comme sans chiffrement, NFSv4 n'est pas beaucoup plus sûr que NFSv3 , je
reste perplexe (certains disent même que NFSv4 n'est qu'une blague).
Si j'étais à ta place et me sentais concerné par la sé curité, je mettrais en
place IPsec entre le serveur et les clients, histoire de les identifier par
rapport à leurs IPs et d'empêcher des intrus de sniffer tes file handles.
My two cents...
PS : on me dit dans l'oreillette que des-cbc-crc n'est plus le seul algo de
chiffrement disponible sur les GNU/Linux récents. Bonne nouvelle donc.
--
"Free software, free society."
Jérémie Courrèges-Anglas
GPG key : 06A11494
--KDt/GgjP6HVcx58l
Content-Type: application/pgp-signature
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.11 (OpenBSD)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=Yute
-----END PGP SIGNATURE-----
--KDt/GgjP6HVcx58l--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Salut,
pour les montages distants (tout serveur avec openssh-server <->
client Linux), je n'utilise plus que sshfs.
Y'a pas à dire, c'est facile à faire et ça passe par ssh (donc
chiffré).
Doc sur http://doc.ubuntu-fr.org/sshfs
A+
--
Px
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
je suis en local mais merci pour le tuyau.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2e099b$0$7769$
En distant sur l'Internet, en local sur un réseau
potentiellement malicieux à cause d'un wifi non controlé ou
d'un virus sur un poste, la différence est souvent moins
grande qu'on ne veut bien le croire...
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Peut-être une limitation pas la MAC adresse à ce moment là si on veut
être vraiment pur ?
le paquet hostapd le permettrait mais est-ce nécessaire ?
Comme pour une assurance non prise : je peux pleurer après :-((
À coté de moi il y a tant de réseaux Wifi mal protégés ... que cela me
protège.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/4d2eb95d$0$21511$