ACL'leri salt okunur / uzak dosya sistemi üzerinde kullanma


9

Uzaktan bağlanan bir dosya sistemi üzerinde kullanılacak yerel ACL'leri tanımlamak istiyorum. Dosya sistemi autofs ve sshfs FUSE aracılığıyla monte edilir.

Fikir, ortamdaki diğer sunuculardaki dosyaları okumak için erişime sahip bir atlama sunucusunda hapse atılan bir kullanıcı kurabilir ve çok fazla pozlama olmadan ve kesinlikle ssh erişimi vermeden standart komutları kullanabiliriz.
Sorun şu ki, sshfs her zaman aynı kullanıcı olarak çalışacaktır, bu nedenle uzak sistemdeki yoldaki dosyalar maruz kaldıkları kullanıcıdan bağımsız olarak açığa çıkacaktır.

Güvenlik kontrolünün sshfs içine kodlanmasını araştırdım, ancak o yola gitmeden önce başka bir paketin başka türlü salt okunur bir dosya sistemine ACL desteği ekleyip ekleyemeyeceğini görmek istiyorum.

Edit: @peterph Uzak dosya sistemi salt okunur olduğunda NFS paylaşımı için ACL'lerinizi nasıl ayarlarsınız?

sshfs'nin ayrılması gerçekten çok kolaydı, bu yüzden bunu yazdıktan birkaç gün sonra ACL kontrolünü sshfs içine ekledim. Kullanıcılar girişte OpenSSH ve jailkit aracılığıyla hapse atılır ve oradan ayrıcalıklı olmayan bir kullanıcı olarak salt okunur sshfs automount'a erişir. Her dir / file stat veya read bir syslog olayı oluşturur. Bir cazibe gibi çalışıyor ve kullanıcıların bir hapishane kutusundan hiçbir hakkı yok.


4
bindfs ACL'leri desteklemez. rofs bakımsız ve yine de istediğinizi desteklediğini sanmıyorum. Daha basit bir yaklaşım için gideceğim: her kullanıcının kendisi için bir sshfs dosya sistemi kurmasına izin verin ve her kullanıcıya sunucuda ayrı bir SFTP hesabı verin. Basit kurulumları güvenli tutmak Rube Goldberg mekanizmalarından daha kolaydır.
Gilles 'SO- kötü olmayı kes'

Yanıtlar:


1

ACL desteğiyle NFS kullanmamanın bir nedeni var mı? SSH / VPN üzerinden tünel oluşturabilir veya şifrelemeyi kendi başına destekleyen NFSv4'ü kullanabilirsiniz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.