如果我理解它是如何工作的,那么NFS安全性依赖于客户端可以信任的事实.
我担心一些用户访问其他人的文件.是的,root_squash选项可以避免客户端上的root用户访问文件,但如果有人在任何客户端上拥有root权限,他可以su到任何用户,然后访问他们想要的文件.
我目前正在将文件导出到所有本地网络.我正在考虑只对可信客户端的网络组进行导出 – 但维护可能会很麻烦,而且只会稍微模糊问题,如果某些可信客户端获得root访问权限,问题仍然存在.
解决方法
NFS是一个具有文件访问权限的安全漏洞 – 您无法真正做到这一点来缓解这种情况.您可以做的最好的事情是只允许按照您的描述导出到受信任的客户端,并可选择使用防火墙规则来阻止其他人偷偷摸摸地与您的NFS服务器通信(即使他们理论上无法做任何事情,您可能并确保他们被锁定).
如果您独占使用NFSv4,则可以使用Kerberize your NFS environment,它在验证客户端方面提供了一些更好的安全选项,但维护Kerberos环境的工作可能等于(或大于)维护网络组导出列表 – 如果您使用的是Kerberos无论如何它可能是一个更好的解决方案.
原文地址:https://www.jb51.cc/linux/398346.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
