Bảo mật truy cập NFS bằng SSHFS

Quản trị mạng - Hiện có khá nhiều phương pháp khác nhau giúp truy cập file trên những hệ thống file từ xa. Một số công cụ truy cập tỏ ra hữu dụng hơn trong những tình huống cụ thể. Một công cụ như vậy là Network Filesystem (NFS).

Công cụ Network Filesystem cung cấp một phương pháp xử lý hệ thống file trên một máy tính từ xa như thể nó là một phần của hệ thống file cục bộ, mặc dù khả năng làm việc của nó phụ thuộc khá nhiều vào những tình huống cụ thể. Nó phục thuộc vào hệ điều hành mà nó được cài đặt, giao diện trình duyệt Filesystem, số lần truy cập chịu tác động bởi băng thông, độ trễ mạng và nhiều yếu tố khác.

Một trong những ví dụ điển hình của công cụ Network Filesystem là CIFS của Microsoft. Công cụ này cho phép hệ điều hành Windows ánh xạ ổ đĩa mạng và trình duyệt mạng với Windows Explorer. Một công cụ khác là NFS, ban đầu được Sun phát triển, được tích hợp liên tục với hệ điều hành kiểu AT&T UNIX trong 15 năm. Bắt đầu từ hai công cụ này, hiện nay đã có rất nhiều công cụ tương tự mà người dùng có thể lựa chọn.

Mã hóa Network Filesystem cung cấp khả năng bảo mật cho truy cập tới filesystem từ xa dù truy cập đó thực hiện qua những mạng không bảo mật. Trên những mạng bảo mật, tốt nhất chúng ta cũng nên áp dụng mã hóa khi truyền dữ liệu qua mạng nhờ khả năng bảo mật theo phân lớp. Trên những hệ thống đã cài đặt OpenSSH, được hầu hết các hệ điều hành kiểu UNIX sử dụng, SSHFS (SSH Filesystem) có thể chứng tỏ sự đơn giản và khả năng bảo mật hoàn hảo cho truy cập filesystem từ xa tới nguồn dữ liệu được lưu trữ trên một hệ thống ở xa.

Để cài đặt và sử dụng SSHFS trên máy trạm nhờ SSH chúng ta sẽ phải cài đặt OpenSSH. Mặc định, khá nhiều bản phân phối Linux và hệ điều hành BSD UNIX tích hợp OpenSSH, do đó chúng ta có thể không cần phải cài đặt chúng riêng rẽ. Ngoài ra, máy chủ (hệ thống lưu trữ filesystem mà chúng ta muốn truy cập từ máy trạm cục bộ) cần phải vận hành tiến trình máy chủ OpenSSH.

SSH Filesystem cũng phụ thuộc vào FUSE (Filesystem in Userspace). FUSE cung cấp một API trên những hệ thống kiểu Linuxcho những filesystem cấp cao mà có thể được quản lý một cách bảo mật không cần quyền truy cập gốc. Những hệ thống quản lý phần mềm của những hệ điều hành kiểu UNIX mã nguồn mở chính sẽ xử lý tự động những thành phần phụ cho người dùng.
Tuy nhiên, khi sử dụng một hệ thống quản lý phần mềm nền tảng nguồn có thể chúng ta sẽ phải bảo đảm rằng các kernel header đã được cài đặt với hệ điều hành tại những vị trí hệ thống xây dựng muốn lưu trữ chúng cho FUSE để cài đặt chính xác. Ví dụ, với hệ thống Port của FreeBSD, chúng ta có thể chỉ định cài đặt mọi header hệ thống trong tiến trình cài đặt hệ điều hành.

Cú pháp lệnh sshfs trong SSHFS Manpage giúp cài cục bộ một filesystem từ xa như sau:
sshfs [user@]host:[dir] mountpoint [options]
Giả sử A có một thư mục chứa những file nhạc của B trên một máy chủ FreeBSD có tên C, và A muốn cài thư mục này cho truy cập cục bộ trên máy laptop Debian, có tên D. Trên C, vị trí của thư mục này sẽ là /usr/home/A/B. Ví trị của filesystem nơi A muốn cài thư mục này trên laptop D/home/A/external. Tên người dùng trên cả hai máy này là giống nhau (A). Lệnh mà A sẽ sử dụng có cú pháp như sau:
sshfs C:/usr/home/A/B /home/A/external
Chúng ta chỉ cần sử dụng một lệnh duy nhất để gỡ thư mục này. Cú pháp như sau:
fusermount -u mountpoint
Do đó A sẽ nhập lệnh:
fusermount -u /home/A/external
Hoặc A có thể sử dụng lệnh umount với cú pháp:
umount /home/A/external
Tham số [user@] trong mẫu cú pháp lệnh sshfs từ Manpage được sử dụng để chỉ định một tài khoản người dùng hệ thống từ xa trong những trường hợp filesystem từ xa mà chúng ta muốn truy cập được sở hữu bởi một tài khoản với tên người dùng khác với tên người dùng mà chúng ta sử dụng trên hệ thống cục bộ - nơi chúng ta muốn cài nó.

Tham số [user@] trong nẫu cú pháp lệnh sshfs được sử dụng cho một trong số 50 tùy chọn trong SSHFS Manpage. Một số tùy chọn mà chúng ta cần sử dụng gồm:
  • sshfs –h: Tùy chọn này cung cấp cú pháp trợ giúp đơn giản nếu chúng ta cần refresh nhanh những tùy chọn hiên có trước khi nhập một lệnh SSHFS.
  • sshfs [user@]host:[dir] mountpoint -p 2002: Tùy chọn này cho phép kết nối thông qua một cổng khác ngoài cổng 22 mặc định của SS. Máy chủ SSH mà chúng ta phải kết nối để truy cập tới filesystem từ xa được cấu hình để sử dụng một cổng không đạt chuẩn.
  • sshfs [user@]host:[dir] mountpoint -C: Với tùy chọn -C, chúng ta có thể kích hoạt khă năng nén SSH. Trên những mạng có băng thông hẹp yêu cầu lưu lượng lớn, như Internet, tùy chọn này có thể tăng tốc truy cập cho những filesystem ở xa qua SSHFS.
Thứ Ba, 03/11/2009 11:52
41 👨 2.617
0 Bình luận
Sắp xếp theo