Sichere Netzwerk-Homes

[Natureshadow]

Hallo zusammen,

ich habe hier einen Fileserver und einige Linux-Netboot-Clients, die / und /home als NFS (von zwei unterschiedlichen Servern) einhängen. Die Daterisysteme werden exportiert als:

Code: Alles auswählen

/opt/nfsroot 172.30.0.*(ro,no_root_squash)
/home 172.30.0.*(rw,root_squash)

Das ist natürlich ziemlich unsicher, aber das liegt bei NFS ja im Design. Am rootfs könnte man noch was drehen, aber die Homes sind meine größere Sorge. Ein Angreifer kann ein eigenes Notebook ans Netzwerk anschließen, eine IP-Adresse "klauen" und das NFS-Share einhängen. Damit hat er dann wegen root_squash zwar keine direkten root-Rechte auf das FS, kann aber jede beliebige UID spoofen und so auf die entsprechenden Dateien zugreifen.

Mir kamen da spontan diese Lösungsansätze:

• iptables-Regeln mit MAC-Filtern - schlecht wartbar und auch nicht sicher
• Homes per FUSE und SSH automounten - wie komme ich an die Credentials des Users?

Deshalb meine Frage an euch: Wie bekomme ich die Homes sicher im Netzwerk verteilt?

Grüße,
Nik

[minimike]

Verwende NFSv4 für die $HOMES. Vorher setzt du einen LDAP sowie Kerberos Server auf
Hast du etwas mehr an Hunger? Setz dir einen Free IPA Server auf
Ein gemischtes Setup von NFSv3 und NFSv4 ist technisch bedenkenlos möglich

[feldmaus]

Hi Natureshadow,

also Du kannst was deine Firewall (iptables) angeht Anti-Spoofing Regeln einführen. Ich habe gerade meine Firewall Regeln nicht greifbar. Auf jeden Fall kannst Du damit sehr wirksam verhindern, dass sich ein Eindringling mit einer geklauten IP-Adresse ausgibt. Meine Anti-Spoofing Regeln halte ich jedenfalls für ziemlich gut. In dem Buch von O'Reilly Firewall stehen geile Sachen zu diesem Punkt.

Zur Zeit halte ich SSHFS als das sicherste Netzwerk-Dateisystem und zudem noch am ausgereiftesten unter Linux. Ich mounte das SSHFS immer nur als User, dabei geht ein kleines Fenster auf wo ich dann mein Passwort eingebe, 2 Sekunden warten (standby Platte) und fertig.
Mounten mit:

Code: Alles auswählen

sshfs externer-user@externer_server:/externes_verzeichnis /mnt/externes_system

Unmounten mit:

Code: Alles auswählen

fusermount -u MOUNTPOINT

fertig! Das ganze habe ich in gkrellm eingerichtet. Das Passwort wird dabei nicht gespeichert. Falls Du das automatisch machen willst, da gab es glaube ich auch Lösungen im Netz die gar nicht schlecht waren. Ich finde es so aber besser.

Grüße Markus

[minimike]

Hi Natureshadow,

also Du kannst was deine Firewall (iptables) angeht Anti-Spoofing Regeln einführen. Ich habe gerade meine Firewall Regeln nicht greifbar. Auf jeden Fall kannst Du damit sehr wirksam verhindern, dass sich ein Eindringling mit einer geklauten IP-Adresse ausgibt. Meine Anti-Spoofing Regeln halte ich jedenfalls für ziemlich gut. In dem Buch von O'Reilly Firewall stehen geile Sachen zu diesem Punkt.

Zur Zeit halte ich SSHFS als das sicherste Netzwerk-Dateisystem und zudem noch am ausgereiftesten unter Linux. Ich mounte das SSHFS immer nur als User, dabei geht ein kleines Fenster auf wo ich dann mein Passwort eingebe, 2 Sekunden warten (standby Platte) und fertig.
Mounten mit:

Code: Alles auswählen

sshfs externer-user@externer_server:/externes_verzeichnis /mnt/externes_system

Unmounten mit:

Code: Alles auswählen

fusermount -u MOUNTPOINT

fertig! Das ganze habe ich in gkrellm eingerichtet. Das Passwort wird dabei nicht gespeichert. Falls Du das automatisch machen willst, da gab es glaube ich auch Lösungen im Netz die gar nicht schlecht waren. Ich finde es so aber besser.

Grüße Markus

Also Ich nutze NFSv4 auch über das Internet. Dafür wurde es mit entworfen. Die Verbindung ist verschlüsselt und ich kann ausgefeilt den Zugriff auf die Daten definieren. Mit LDAP habe ich dann noch ein zentrales Management für User. User haben keinen Shellzugriff nötig.

[peschmae]

AFS würde sich da auch anbieten als sehr flexible Netzwerkdateisystemlösung.

Der einzige Nachteil davon ist, dass man das OpenAFS Kernel-Modul jeweils selber kompilieren muss (via module-assistant), da es nicht upstream ist.

MfG Peschmä

[Natureshadow]

Hi,

das mit den Anti-Spoofing-Regeln klingt gut. Aber dazu fällt mir nichts technisch sinnvolles ein ...

Grüße,
Nik

[feldmaus]

Hi,

das mit den Anti-Spoofing-Regeln klingt gut. Aber dazu fällt mir nichts technisch sinnvolles ein ...

Grüße,
Nik

Na gut ich versuch mal was aus dem Ärmel zu schütteln:
iptables -A INPUT -i ppp0 -s 192.168.0.0/24 -j DROP

u.s.w. soll z.b. heißen wenn ein Paket aus dem Internet kommt und eine lokale IP-Adresse besitzt, dann nimmt Dich Jemand auf den Arm. Oder:
iptables -A INPUT -i ppp0 -s 127.0.0.1 -j DROP

das gleich wie oben nur mit loopback Adresse. Ich glaube ich habe 5-10 Anti-Spoofing Regeln. Dann kannst Du noch ein paar Regeln gegen Syn-Flooding, DoS-Attacks erstellen (siehe iptables Erweiterung limit oder recent).

Grüße Markus