En NFSv4 con seguridad kerberos

2

Cuando NFSv4 está configurado para usar la autenticación kerberos, es obligatorio tener un keytab instalado en cada cliente con su propio principal. Para acceder a los archivos, un usuario aún debe estar autenticado con su principal.

¿Qué sucede si se roba una clave de un cliente? (o un atacante obtiene privilegios de root en un cliente autorizado). ¿Puede el atacante usar una versión modificada de NFS para evitar la autenticación del usuario?

Por lo tanto, quiero entender si el control de acceso del usuario lo realiza el cliente o el servidor.

Pregunta extra: si el servidor realiza la autorización, ¿por qué cada cliente necesita una tabla de claves?

    
pregunta Enrico Polesel 12.12.2016 - 22:40
fuente

1 respuesta

1

No soy un maestro de NFS, sino una lectura de RFC 7530 (y algunos Archivos de discusión NFS ) muestra que NFSv4 tiene devoluciones de llamada: un servidor NFS puede ponerse en contacto con un cliente NFS y delegar ciertos Responsabilidades hacia el cliente. Las devoluciones de llamada permiten mejorar el rendimiento de la red.

La presencia de devoluciones de llamada responde a tu pregunta final "¿por qué cada cliente necesita una clave?" El cliente necesita una tabla de claves para que el servidor (durante una devolución de llamada) pueda autenticar la identidad del cliente. Si se roba una clave de un cliente, el atacante podría potencialmente imitar a ese cliente NFS, e interceptar o falsificar el tráfico de red NFS.

El control de acceso lo realiza el servidor, con las credenciales enviadas por el cliente en la solicitud de RPC.

    
respondido por el Jacob 13.12.2016 - 20:50
fuente

Lea otras preguntas en las etiquetas