那些遇到过的问题

如何在不受信任的客户端环境中保护 NFS

Jor*_*Lis 4 security linux ubuntu nfs

如果我理解它是如何工作的,NFS 安全依赖于客户端可以信任的事实。

我担心某些用户访问其他人的文件。是的,root_squash选项避免客户端上的 root 用户访问文件,但如果有人在任何客户端上拥有 root 权限,他可以 su 进入任何用户,然后访问他们想要的文件。

我目前正在将文件导出到所有本地网络。我正在考虑仅导出到受信任客户端的网络组——但维护起来可能会很痛苦,而且它只会稍微掩盖问题,如果某些受信任的客户端获得 root 访问权限,问题仍然存在。

vor*_*aq7 7

NFS 是一个具有文件访问权限的安全漏洞——您无法真正采取任何措施来缓解它。您能做的最好的事情是只允许导出到您所描述的受信任客户端,并可选择使用防火墙规则来防止其他人偷偷通过您的 NFS 服务器并与之交谈(即使他们理论上无法执行您可能会做的任何事情)以及确保他们被锁定)。

如果您只使用 NFSv4,您可以对您的 NFS 环境进行Kerberize,这在验证客户端方面提供了一些更好的安全选项,但维护 Kerberos 环境的工作可能等于(或大于)维护网络组导出列表——如果您无论如何都要重新使用 Kerberos,尽管它对您来说可能是更好的解决方案。

  • 谢谢,这听起来不太好听,但我想这就是可怕的事实。 (2认同)

归档时间:

查看次数:

1154 次

最近记录:

13 年,1 月 前
相关归档
如何在 TIME_WAIT 中强​​行关闭套接字? 125
列出 ubuntu / debian 中存储库中的所有软件包 95
避免将命令保留在历史中 38
Git提交审计 16
使用 Upstart (Ubuntu) 启动时,应用程序未获取环境变量 7
将现有的 Linux 服务器备份到 virtualbox 虚拟机 6
使用 --listed-incremental 进行 tar 增量备份对我不起作用(Linux、Ubuntu) 5
更改 Ubuntu ISO 默认镜像的最简单方法 4
crontab /etc/profile.d 4
如何使用命令在 CentOS 中找到最大的文件夹 2
难疑归档
htop 状态栏中的颜色究竟是什么意思? 520
使用 DD 进行磁盘克隆 207
InnoDB:错误:日志文件 ./ib_logfile0 大小不同 108
如何在 ssh 登录时自动更改目录? 107
如何在不重新启动屏幕的情况下重新加载 screenrc? 100
CNAME 应该用于子域吗? 88
当没有任何内容写入事件日志时,如何诊断 IIS 7.5 上的 500 内部服务器错误? 59
某些 ISP 不对 Youtube/Netflix/Facebook 上使用的带宽收费。他们如何监控? 56
Linux /boot 分区的推荐大小是多少? 55
我可以比每分钟更频繁地运行 cron 作业吗? 54