NFS Server absichern oder wie am besten machen

A

achim22

Renowned Member
Proxmox Subscriber
May 21, 2015
414
5
83
58
Dortmund
Hallo,
ich habe einen Rootserver bei einem Hoster mit Proxmox am laufen.

Die Backups schiebe ich immer auf einen anderen Proxmox der als NFS Server dient, bei einem anderen Hoster.

NFS ist jetzt aber nicht wirklich sicher. Habt ihr ein Tipp wie man das am besten machen sollte?


Gruß
Achim
 
warum ist nfs nicht sicher einfach nur den einen Host zulassen, oder was genau meinst du?
 
Es läuft alles super jedoch wurde hier geschrieben das man es nur im lokalen Netzwerk nutzen soll.
NFS (Network File System) ist ein stabiles und gut funktionierendes Netzwerk-Protokoll von Sun, um Dateien über das lokale Netzwerk auszutauschen. Prinzipiell würde es auch über das Internet funktionieren, was aber aus Sicherheitsgründen nicht zu empfehlen ist. NFS ist im Prinzip das *NIX-Pendant zu SMB aus der Windows-Welt.
Click to expand...

https://wiki.ubuntuusers.de/NFS/

Dann habe ich auch noch eine Email vom BSI (Informationstechnik ) erhalten.
Das alles hat mich jetzt verunsichert.

Sehr geehrte Damen und Herren,

der Portmapper-Dienst (portmap, rpcbind) wird bentigt, um
RPC-Anfragen einem Dienst zuzuordnen. Der Portmapper-Dienst wird
u.a. fr Netzwerkfreigaben ber das Network File System (NFS)
bentigt. Der Portmapper-Dienst verwendet Port 111 tcp/udp.

Ein offen aus dem Internet erreichbarer offener Portmapper-Dienst kann
von einem Angreifer zur Durchfhrung von DDoS-Reflection-Angriffen
missbraucht werden. Weiterhin kann ein Angreifer darber Informationen
ber das Netzwerk erlangen, wie z.B. laufende RPC-Dienste oder
vorhandene Netzwerkfreigaben.

In den letzten Monaten wurden Systeme, welche Anfragen aus dem
Internet an den Portmapper-Dienst beantworten, zunehmend zur
Durchfhrung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter
missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem
Netzbereich. Der Zeitstempel (Zeitzone UTC) gibt an, wann auf dem
System ein offener Portmapper-Dienst identifiziert wurde.......................
Click to expand...

Gruß
Achim
 
ja kenn ich die habe ich meinen Kunden auch weiter geleitet. nfs macht man ja auch nur Intern und nicht im Internet über mehrer Hoster.

Der Port 111 ist halt der portmapper worauf nfs hört und der ist halt nicht sicher daher sollte man diesen wenn nicht benötigt abriegeln. In deinen fall ggf. per vpn oder anderweitig.
 
meinst du ssh tunnel? ob das noch was bringt an Leistung musst du testen.
 
ja , ich dachte an ssh tunneln.
Aber wie Du schon schreibst wird das wohl eher sehr langsam.

Gibt es außer VPN noch eine andere Lösung ?

Muss es denn überhaupt NFS sein ? Im Augenblick sehe ich vor lauter Bäumen den Wald nicht mehr.
Kann ich nicht den Port 111 dicht machen und mit sftp, sshfs eine Freigabe mounten ?
Oder wird das zu langsam ?

Gruß
Achim
 
Wenn SSH dann mach doch sshfs oder scp..

/edit: Da habe ich nicht genau gelesen. Ja, mach doch einfach SCP oder SSHDS. Das ist einfach und auch einigermaßen fix.
Jonas
 
Last edited:
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back