Sử dụng ACL qua chỉ đọc / hệ thống tập tin từ xa


9

Tôi muốn xác định ACL cục bộ sẽ được sử dụng trên một hệ thống tập tin được gắn từ xa. Hệ thống tập tin được gắn kết thông qua autofs và sshfs FUSE.

Ý tưởng là chúng ta có thể thiết lập một người dùng bị bỏ tù trên một máy chủ nhảy có quyền truy cập để đọc các tệp trên các máy chủ khác trong môi trường và sử dụng các lệnh tiêu chuẩn mà không cần tiếp xúc nhiều và chắc chắn không cấp quyền truy cập ssh.
Vấn đề là, sshfs sẽ luôn chạy như cùng một người dùng, vì vậy các tệp trong đường dẫn trên hệ thống từ xa sẽ bị lộ bất kể người dùng mà họ đã tiếp xúc.

Tôi đã khám phá mã hóa kiểm tra bảo mật ngay trong sshfs, nhưng trước khi tôi đi vào con đường đó, tôi muốn xem liệu có gói nào khác có thể thêm hỗ trợ ACL vào hệ thống tệp chỉ đọc không.

Chỉnh sửa: @peterph Bạn sẽ đặt ACL của mình cho chia sẻ NFS như thế nào khi hệ thống tập tin từ xa chỉ được đọc?

sshfs thực sự dễ dàng để tách ra, vì vậy tôi đã thêm kiểm tra ACL vào chính sshfs vài ngày sau khi viết bài này. Người dùng bị bỏ tù khi đăng nhập thông qua OpenSSH và jailkit và truy cập sshfs automount chỉ đọc với tư cách là người dùng không có đặc quyền từ đó. Mỗi chỉ số dir / file hoặc đọc đều tạo ra một sự kiện nhật ký hệ thống. Nó hoạt động như một bùa mê và người dùng không có quyền đối với một hộp bị bỏ tù.


4
bindfs không hỗ trợ ACL. rofs là không rõ ràng và tôi không nghĩ rằng nó hỗ trợ những gì bạn muốn. Tôi muốn thực hiện một cách tiếp cận đơn giản hơn: cho phép mỗi người dùng tự gắn hệ thống tệp sshfs và cung cấp cho mỗi người dùng một tài khoản chỉ SFTP riêng trên máy chủ. Thật dễ dàng để giữ các thiết lập đơn giản an toàn hơn so với các chi tiết của Rube Goldberg.
Gilles 'SO- ngừng trở nên xấu xa'

Câu trả lời:


1

Có một lý do cho việc không sử dụng NFS với hỗ trợ ACL? Bạn có thể tạo đường hầm thông qua SSH / VPN hoặc sử dụng NFSv4 hỗ trợ mã hóa.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.