[SERVER] Alternative sicure a samba.

[Cazzantonio]

Ho una piccola lan "casalinga" con un server samba (gentoo) che condivide file con altri 2 computer (un gentoo e un ubuntu). A questa rete si attaccano però altri individui con cui condivido la connessione adsl.
Ora non voglio fare il paranoico, non penso che abbiano la voglia e/o la capacità di bucare la mia "sottorete", tuttavia ogni tanto hanno avanzato richieste di potersi connettere anche loro al server samba per accedere a determinati file che io, per ragioni di banda e anche di principio, ho sempre rifiutato. Qualche volta ho trovato anche nei log di iptables dei maldestri tentativi di connessione.
Sempre per non evocare la paranoia sono arcisicuro che la sicurezza della mia sottorete sia sufficiente a tenere lontani gli scrocconi indesiderati, tuttavia era per dire che l'argomento sicurezza mi interessa un minimo prima di introdurre la seguente domanda.

Siccome nella mia sottorete non c'è nessun pc windows trovo inutile e superfluo, quando non rischioso, usare samba per la condivisione. Samba è semplice da utilizzare e da configurare, e anche abbastanza sicuro, tuttavia è una soluzione di compatibilità con windows che non mi interessa assolutamente avere.
Vorrei utilizzare altri metodi di condivisione dei file, tuttavia NFSv3 è troppo insicuro (accesso garantito in base all'ip...) e NFSv4 non lo conosco. Non conosco nemmeno AFS per cui chiedo a voi se sapete consigliarmi su cosa scegliere per sostituire samba. Premesso che sia una soluzione semplice, di poche pretese e con un meccanismo di autenticazione non dissimile da samba (username/password... oppure tramite chiave cifrata...).

Grazie e spero di non aver lanciato un flame oppure avanzato una FAQ. Mi sono documentato molto prima di chiedere ma la qualità della documentazione, specie su NFSv4, non mi convince molto
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[codadilupo]

sshfs no ?

Coda

[Kernel78]

l'unico motivo per cui io non uso sshfs è che konqueror mi permette tramie fish://<username>@<server> di collegarmi ad un server (dove sia presente ssh e username sia abilitato al login via ssh).
La sicurezza di ssh e la comodità dell'interfaccia grafica (quando ho fatto vedere al mio responsabile che facevo drag&drop di un file da un nostro server al server di un cliente si è deciso a farsi installare linux sul portatile)
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con

[codadilupo]

[Kernel78]

[codadilupo]

[riverdragon]

[djinnZ]

dai uno sguardo a coda, lo ho usato per pochissimo causa totale instabilità del driver winzozz (che sono obbligato per legge ad usare), dovrebbe fare al caso tuo.
_________________
scita et risus abundant in ore stultorum sed etiam semper severi insani sunt
mala tempora currunt...mater stultorum semper pregna est
Murpy'sLaw:If anything can go wrong, it will - O'Toole's Corollary:Murphy was an optimist

[Cazzantonio]

[codadilupo]

[!equilibrium]

[Cazzantonio]

[koma]

io suggerisco ftpfs.
Sshfs è un po' pesantino (deve codare tutto quello che passa in ssl e poi risputarlo dalla'ltro lato.) Dubito ti possano sniffare la rete
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD

[Cazzantonio]

[koma]

Suggerieri di usare lufs curl etc etc non è molto stabile lufs si
_________________
http://www.youtube.com/watch?v=_yoJI-Tl94g GLORY GLORY HYPNOTOAD

[Cazzantonio]

mi pare che lufs non sia più attivamente sviluppato, inoltre usando un modulo per fuse, invece che per lufs, si ha il vantaggio di avere il supporto integrato nel kernel.
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[comio]

[ProT-0-TypE]

un semplice server ftp non va bene? vsftpd con utenti virtuali: veloce, semplice, sicuro
_________________
[Vuoi guadagnare navigando?]

[Cazzantonio]

No. Come ho detto prima mi serve che le share siano montate in una cartella, meglio se con una voce relativa in fstab.
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[Cazzantonio]

Ho provato a impostare una condivisiode via curlftpfs, tuttavia è problematico usarlo al posto di una condivisione samba.
Il problema nasce dal fatto che ftp è un protocollo pensato per trasferire file, e non per stabilire connessioni permanenti come nel caso si voglia montare una share. C'è tutta una questione relativa ai timeout della connessione che rende problematico, anche se non impossibile, usare ftpfs al posto di samba.
ssfhs-fuse funziona un po' meglio, anche se non mi piace l'idea di dover fornire una shell di accesso a tutti i client.
Alla fine samba è la cosa più semplice (anche dal punto di vista della sicurezza). Il giorno in cui mi fiderò a dare ai client una shell di accesso al server allora valuterò sshfs-fuse

P.S. codafs è veramente inefficiente per share di grosse dimensioni.
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[lucapost]

Non troppi mesi fa ho fatto qualche esperimento con http://www.openafs.org/.
Non è leggerissimo, ma se hai tempo vale la pena provarlo.
C'è anche in portage.
_________________
LP

[djinnZ]

[.:chrome:.]

vorrei farti notare un (piccolo, forse) errore di principio in quanto tu scrivi:
SMB non è una soluzione di compatibilità per reti windows, ma un sistema di condivisione di risorse tra reti eterogenee. detto questo, la prospettiva cambia un bel po'...
una condivisione samba può essere montata attraverso il vecchio smbfs, appunto vecchio, lento, limitato ed insicuro; oppure con il buon CIFS, che abbandona NetBIOS per TCP ed è quello usato dalle recenti versioni di windows (2000 e successive).
questo, insieme ad una attenta conifgurazione di samba e delle condivisioni, è in grado di metterti al sicuro da moltissimi attacchi e tentativi di violazione della rete. fai attenzione ad una cosa, a questo proposito: il fatto che samba sia semplice da configurare non vuol dire che sia un protocollo semplice. si tratta infatti di una suite protocollare tra le più complete, articolate ed allo stesso tempo flessibili di cui il settore ICT disponga; è vero che si possono realizzare configurazioni "alla buona" con poche righe, ma è anche vero che dedicando un po' di tempo alla lettura dell'imponente manuale è possibile realizzare configurazioni molto più sottili di quanto non permettano quasi tutti gli altri protocolli per la condivisione di risorse in rete.

[Cazzantonio]

Hai ragione, samba è incredibilmente completo.
Proprio per questa ragione, visto che devo condidere dati con un massimo di quattro pc (che si connettono alle risorse condivise al massimo uno per volta), mi bastava qualcosa di molto più semplice, che non necessitasse di tutta la complessità fornita da samba, dei tempi di compilazione e della manutenzione necessaria.
Nonostante questo mi piaceva l'idea di un'autenticazione via password, anche in chiaro. Giusto perché chiunque non potesse accedere alle foto mie e della mia dolce metà che stanno sul serverino. (Niente di sconcio.. beh.. non eccessivamente sconcio, purtuttavia foto private).
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne

[.:chrome:.]

ma se le tue esigenze sono solo queste, samba è sufficiente, e non devi nemmeno approtare grandi modifiche alle tue attuali configurazioni.
puoi imporre un valid-user con relativa password per ogni sezione, iserire gli utenti che vuoi in tdbsam con smbpasswd, e il gioco è fatto.