Path: ...!news.mixmin.net!aioe.org!news.alphanet.ch!alphanet.ch!.POSTED!not-for-mail
From: Marc SCHAEFER <schaefer@alphanet.ch>
Newsgroups: fr.comp.os.linux.configuration
Subject: Re: /etc/exports option unsecure
Date: Sat, 5 Nov 2022 14:16:17 -0000 (UTC)
Organization: Posted through news.alphanet.ch
Message-ID: <tk5r7g$m9b$1@shakotay.alphanet.ch>
References: <tk5q6i$2g2ek$1@dont-email.me>
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 5 Nov 2022 14:16:17 -0000 (UTC)
Injection-Info: shakotay.alphanet.ch; posting-account="schaefer";
	logging-data="22827"; mail-complaints-to="usenet@alphanet.ch"; posting-host="634ce6c9682d817d72f6177875e2bb4f.nnrp.alphanet.ch"
User-Agent: tin/2.4.3-20181224 ("Glen Mhor") (UNIX) (Linux/4.19.0-22-amd64 (x86_64))
Cancel-Lock: sha256:6jOY66J4uTe5Rww6iR5M/+AfgrNNi7EF9osB+FhtVcI= sha256:W+/Y4g2Fmk8eD8es2uPmBky+DcbwfOtZSCoDP+DoMuM=
Bytes: 2094
Lines: 28

François Patte <francois.patte@mi.parisdescartes.fr> wrote:
> Je cherche à faire un montage nfs de répertoire mais, dans un premier 
> temps le montage a été refusé pour cause de port illégal (1024).

Tout cela était parce que, dans un réseau UNIX, les différentes machines
n'avaient que root qui avait le droit de réserver les ports en-dessous
de 1024: donc certains services `authentifiaient' que root était en
face avec ce simple test.

> Quels sont les risques?

Je dirais que si tu mets en place du NFS en UDP (classique) c'est
globalement risqué, le spoofing étant facile en UDP.

Que le port source soit < 1024 ou non n'y change rien.

Idées:

   - utiliser NFSv4/TCP, et firewaller pour n'autoriser que
     certaines adresses IP

   - utiliser un VPN chiffrant

   - utiliser un autre protocole plus moderne et vraisemblablement
     chiffré et authentifié (glusterfs, sshfs, etc)

Après, on peut aussi se poser la question de pourquoi un partage de
fichier est nécessaire alors qu'une application web, par exemple, peut
aussi utiliser des API de stockage.