Path: ...!news.mixmin.net!aioe.org!news.alphanet.ch!alphanet.ch!.POSTED!not-for-mail From: Marc SCHAEFER Newsgroups: fr.comp.os.linux.configuration Subject: Re: /etc/exports option unsecure Date: Sat, 5 Nov 2022 14:16:17 -0000 (UTC) Organization: Posted through news.alphanet.ch Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit Injection-Date: Sat, 5 Nov 2022 14:16:17 -0000 (UTC) Injection-Info: shakotay.alphanet.ch; posting-account="schaefer"; logging-data="22827"; mail-complaints-to="usenet@alphanet.ch"; posting-host="634ce6c9682d817d72f6177875e2bb4f.nnrp.alphanet.ch" User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-22-amd64 (x86_64)) Cancel-Lock: sha256:6jOY66J4uTe5Rww6iR5M/+AfgrNNi7EF9osB+FhtVcI= sha256:W+/Y4g2Fmk8eD8es2uPmBky+DcbwfOtZSCoDP+DoMuM= Bytes: 2094 Lines: 28 François Patte wrote: > Je cherche à faire un montage nfs de répertoire mais, dans un premier > temps le montage a été refusé pour cause de port illégal (1024). Tout cela était parce que, dans un réseau UNIX, les différentes machines n'avaient que root qui avait le droit de réserver les ports en-dessous de 1024: donc certains services `authentifiaient' que root était en face avec ce simple test. > Quels sont les risques? Je dirais que si tu mets en place du NFS en UDP (classique) c'est globalement risqué, le spoofing étant facile en UDP. Que le port source soit < 1024 ou non n'y change rien. Idées: - utiliser NFSv4/TCP, et firewaller pour n'autoriser que certaines adresses IP - utiliser un VPN chiffrant - utiliser un autre protocole plus moderne et vraisemblablement chiffré et authentifié (glusterfs, sshfs, etc) Après, on peut aussi se poser la question de pourquoi un partage de fichier est nécessaire alors qu'une application web, par exemple, peut aussi utiliser des API de stockage.