新城@筑波大学情報です。こんにちは。

In article <m3ptizbp01.fsf@maedapc.cc.tsukuba.ac.jp>
        MAEDA Atusi <maeda@cc.tsukuba.ac.jp> writes:
> 良く分かりませんが,想像するに,やっぱり「一般ユーザがログインできるマ
> シンで,NFSでファイル共有してはいけない」ということかな.

私なら、即座にそういう結論にはしません。というのも、NFS の安
全性を追求しだすと、クライアントの root を守るのが必須になる
ので、サーバだけ守ってもしょうがないからです。

じゃあ、NFS より CIFS の Windows が安全だと言いたくなりそう
な人がいるかもしれませんが、そうでもありません。Windows も、
クライアント側の Administrator 権限が取られると、Logon のダ
イアログ・ウインドウを書き換えられてパスワードが収集できます。
結局、Windows でも、クライアントの Administrator 権限を守る
のは必須になります。これは、NFS の root を守るのと同じ話です。

それで、NFS のクライアントの root を守るのと、サーバの root 
を守るのとは、そんなに質的な差はないかなあということです。

> > ISS社の Internet Scannerで検査した結果 NFSのを特権ポートで
> > 動かせと指摘されました。
> 
> この前提で,どのようにセキュリティ向上に貢献するのか良く分からないです
> が… ポートを固定せよということかな?

たしかに。ポート番号を固定することは意味があるのでしょうが、
「特権ポート」という話には、さほど意味があるとは思えません。
その、「Internet Scanner」の警告を減らしたかったんじゃないか
なあ。警告を減らすのは、大事な情報を見落さないようにすること
に大事なことではあるのですが、それなら、「Internet Scanner」
の方を直すという手もあります。

> Secure NFS via SSH tunnelなんてのもあるようです.
> http://www.math.ualberta.ca/imaging/snfs/
> 元の質問者の方の用途には,これが適しているかも.

あとは、普通に VPN を張ってやるか。

> もし上のSNFSが使えるなら,そっちの方がベターだと思います.

SSH のトンネルや、あと NAT を使うと、NFS のホスト単位のアク
セス制御が飛んでしまうという所がやっかいなんですよね。

IPsec と NFS って、うまく行くんでしたっけ?
IPv6 と NFS は、なんとか *BSD でできたと見た気がしたので、
IPsec 必須の IPv6 なので、IPsec で NFS ができる道理ではある
のですが。

Sun RPC (ONC RPC) の作り自体は、20年前に transport
independent になるように作ってあったみたいで、その点はなかな
か先見性がありましたね。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\