Netzwerk-Dateisysteme: Sicherer Datenaustausch über NFS mit gssproxy

Inhaltsverzeichnis

Theoretisch ist NFS ein sicheres Protokoll zum Datenaustausch. Seit Version 4 muss jede Implementierung starke Authentifizierung, Integritätsprüfung und Verschlüsselung per Kerberos anbieten. In der Praxis relativiert sich die Sicherheit, weil Inkompatibilitäten, Implementierungsschwächen, mitunter aber auch grundlegende Widersprüche den Einsatz von NFS in Verbindung mit Kerberos verhindern. Denn der Kerngedanke ist gleichzeitig das Kernproblem: Nutzer eines Dateisystems müssen sich stark authentifizieren. Das bereitet immer dann Schwierigkeiten, wenn ein System Tätigkeiten ausführen soll, für die gerade kein Nutzer greifbar ist.

Derlei Beispiele existieren viele: Cron-Jobs, Backupsysteme, Web-Gateways mit Dateisystemzugriff oder die Batch-Jobs eines HPC-Clusters müssen ohne unmittelbare Interaktionen eines Nutzers zurechtkommen. Sind solche Programme auf Daten in NFS-Laufwerken angewiesen, legt ihnen Kerberos eine zusätzliche Hürde in den Weg. Denn auch sie benötigen jetzt Tickets für den kerberisierten NFS-Zugriff. Die Gültigkeitsdauer dieser Tickets orientiert sich aber primär an der Dauer interaktiver Nutzersitzungen und liegt daher üblicherweise im Stundenbereich. Verglichen mit der Laufzeit von HPC-Berechnungen oder gar für stetig wiederkehrende Cron-Jobs ist das zu kurz. Tickets ausschließlich interaktiv bereitzustellen, ist daher keine praktikable Option.

Manuelles Ticket-Handling als Hürde

Bei Projekten zur Einführung von Kerberos-Sicherheit in NFS-Umgebungen geht es auch darum, eine Lösung für den weiteren Betrieb bestehender, nicht interaktiver Prozesse zu finden, die auf NFS-Mounts zugreifen müssen. Technisch benötigen die Accounts, unter denen diese Prozesse auf den NFS-Clients laufen, dafür jederzeit gültige Tickets.

Das war die Leseprobe unseres heise-Plus-Artikels "Netzwerk-Dateisysteme: Sicherer Datenaustausch über NFS mit gssproxy". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.