Path: ...!weretis.net!feeder8.news.weretis.net!eternal-september.org!reader01.eternal-september.org!.POSTED!not-for-mail
From: =?UTF-8?Q?Fran=c3=a7ois_Patte?= <francois.patte@mi.parisdescartes.fr>
Newsgroups: fr.comp.os.linux.configuration
Subject: Re: /etc/exports option unsecure
Date: Thu, 10 Nov 2022 17:26:46 +0100
Organization: A noiseless patient Spider
Lines: 44
Message-ID: <tkj8o7$j4fc$1@dont-email.me>
References: <tk5q6i$2g2ek$1@dont-email.me> <tk5r7g$m9b$1@shakotay.alphanet.ch>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 10 Nov 2022 16:26:47 -0000 (UTC)
Injection-Info: reader01.eternal-september.org; posting-host="3116bb97bfc3131a7f44b6576b7b6fcd";
	logging-data="627180"; mail-complaints-to="abuse@eternal-september.org";	posting-account="U2FsdGVkX192R4pQfV45YBGWXige4YZx"
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101
 Thunderbird/91.9.0
Cancel-Lock: sha1:CEtdohQa68gah9o0Pbqdv5vMAxk=
In-Reply-To: <tk5r7g$m9b$1@shakotay.alphanet.ch>
Content-Language: fr-FR
Bytes: 2729

Le 05/11/2022 à 15:16, Marc SCHAEFER a écrit :
> François Patte <francois.patte@mi.parisdescartes.fr> wrote:
>> Je cherche à faire un montage nfs de répertoire mais, dans un premier
>> temps le montage a été refusé pour cause de port illégal (1024).
> 
> Tout cela était parce que, dans un réseau UNIX, les différentes machines
> n'avaient que root qui avait le droit de réserver les ports en-dessous
> de 1024: donc certains services `authentifiaient' que root était en
> face avec ce simple test.
> 
>> Quels sont les risques?
> 
> Je dirais que si tu mets en place du NFS en UDP (classique) c'est
> globalement risqué, le spoofing étant facile en UDP.
> 
> Que le port source soit < 1024 ou non n'y change rien.
> 
> Idées:
> 
>     - utiliser NFSv4/TCP, et firewaller pour n'autoriser que
>       certaines adresses IP
> 
>     - utiliser un VPN chiffrant
> 
>     - utiliser un autre protocole plus moderne et vraisemblablement
>       chiffré et authentifié (glusterfs, sshfs, etc)

Oui mais pour  glusterfs je ne peux pas installer un système de fichier 
sur l'ordi distant.

sshfs n'a pas l'air de faire bon ménage avec thunar/xfce et certains 
utilisateurs ne fonctionnent qu'en "graphique"

> 
> Après, on peut aussi se poser la question de pourquoi un partage de
> fichier est nécessaire alors qu'une application web, par exemple, peut
> aussi utiliser des API de stockage.

Je ne comprends pas cette remarque que je suis tout intéressé à découvrir.


-- 
François Patte
Université Paris Descartes