Hệ thống tập tin được nối mạng với bảo mật cấp người dùng cho linux

Tôi muốn kích hoạt chia sẻ tập tin giữa máy chủ và máy khách, cả linux. Tôi không muốn dựa vào sự tin tưởng của máy như trong NFSv4 vì người dùng máy khách sẽ có quyền root. Lựa chọn của tôi ngoài SMB (SAMBA) là gì? OpenAFS có hỗ trợ xác thực và truy cập cấp người dùng không? Sử dụng WebDAV / ftp / sshfs được gắn có vẻ ngớ ngẩn đối với mạng LAN.

Tôi không chắc chắn tôi hoàn toàn hiểu:

"Tôi không muốn dựa vào sự tin tưởng của máy như trong NFSv4 vì người dùng máy khách sẽ có quyền root."

Nếu bạn có nghĩa là người dùng máy khách sẽ có quyền root trên máy khách và bạn không muốn họ có quyền root trên máy chủ thì bạn không sử dụng tùy chọn "no_root_squash". Bạn cũng có thể làm những việc như vô hiệu hóa setuid để giúp giảm rủi ro cho máy khách khỏi máy chủ.

Bạn cũng có tùy chọn sử dụng kerberos với NFSv4, xem liên kết này .

Vì vậy, nói cách khác, NFSv4 có thể cung cấp cho bạn sự bảo mật mà bạn cần trong khi có thêm một chút ... (có thể mở rộng?) .. việc sử dụng sshfs ở mọi nơi. Nó vẫn có thể không phải là những gì bạn muốn, nhưng tôi sẽ không từ bỏ nó quá sớm.

Với Kerberos, chỉ máy chủ kdc cấp mã thông báo xác thực. Bản thân một máy khách chỉ có thể xác thực là máy chủ lưu trữ (và đó là nếu bạn cung cấp cho nó keytab cho một nfs / client-hostname @ REALM chính phù hợp) và điều đó chỉ cho phép nó nói chuyện với máy chủ nfs. Đó là những người dùng có khả năng xác thực và máy chủ nfs chỉ cho phép họ truy cập các tệp của riêng họ. Với sec = krb5p, máy chủ cũng ngăn chặn việc rình mò và thay đổi.

Là root sẽ không cung cấp cho người dùng của bạn đặc quyền không phù hợp. Cách duy nhất họ có thể truy cập vào nhiều tệp hơn là hack máy của nhau, hack máy chủ nfs hoặc kdc. NFSv4 với Kerberos phù hợp với yêu cầu bảo mật của bạn.

Đây là nhiều hơn về mô hình bảo mật:

• Thiết kế một hệ thống xác thực: một cuộc đối thoại trong bốn cảnh

Nếu bạn đang xem một triển khai, đây là một số hướng dẫn tập trung vào debian / ub Ubuntu. Tôi đã chọn các thiết lập đơn giản mà không có LDAP. Các bản phân phối này có cấu hình dựa trên debconf giúp bạn thực hiện một số cách.

• Thiết lập Kerberos (lưu ý các yêu cầu fqdn).
• Thiết lập NFSv4

Bổ sung của tôi: bạn không cần chỉ định một loại mã hóa des-cbc-crc, nhưng bạn cần cho phép_weak_crypto trong krb5.conf để giao thức truyền thông có thể sử dụng des-cbc-crc để mã hóa luồng. Điều này sẽ trở nên không cần thiết trong hạt nhân 2.6,35.

Nếu bạn đang xem một cái gì đó giống như thiết bị, có FreeIPA .

sshfs là con đường để đi. Trên máy khách:

sshfs -o idmap=user,workaround=rename user@server:/home/user/share /home/user/share

Quyền giống như ssh ... vì bạn đang sử dụng ssh! Điều tuyệt vời là bạn không phải chạm vào bất cứ thứ gì trên máy chủ, giả sử sshd đã được cài đặt và chạy đúng cách. Có thể không có hiệu suất như các đề xuất khác, nhưng nó rất đơn giản.

samba thực sự có vẻ như đặt cược tốt nhất của bạn. samba không có phần mở rộng unix vì vậy khi được gắn bằng cifs trên linux, nó sẽ hiển thị các quyền unix phù hợp và không có gì. Tôi nghĩ rằng đó sẽ là lựa chọn tốt nhất cho những hạn chế của bạn. nếu điều đó không giải quyết được thì sshfs có thể được sử dụng trong một nhúm nhưng nó sẽ không có hiệu năng tốt hoặc tích hợp vào HĐH như samba.

OpenAFS có hỗ trợ xác thực và truy cập cấp người dùng không?

Vâng, có vẻ như OpenAFS sẽ đáp ứng yêu cầu của bạn ở đây, nhưng Kerberized NFSv4 cũng vậy. Trong cả hai môi trường đó, bạn không cần phải "tin tưởng" khách hàng; kiểm soát truy cập được thực thi bởi các máy chủ. Các phiên bản trước của NFS đã yêu cầu bạn "tin tưởng" khách hàng một cách hiệu quả, nhưng Kerberized NFSv4 thì không. OpenAFS chưa bao giờ yêu cầu khách hàng "đáng tin cậy", và cũng dựa vào Kerberos để xác thực và bảo mật.