Сетевая файловая система с безопасностью на уровне пользователя для Linux

Я хочу включить обмен файлами между серверами и клиентами, как Linux. Я не хочу полагаться на доверие компьютера, как в NFSv4, потому что у пользователей клиента будут права root. Какие у меня варианты кроме SMB (SAMBA)? Поддерживает ли OpenAFS аутентификацию и доступ на уровне пользователя? Использование смонтированного WebDAV/ftp/sshfs кажется глупым для локальной сети.

5 ответов

Я не уверен, что полностью понимаю:

"Я не хочу полагаться на доверие компьютера, как в NFSv4, потому что у пользователей клиента будут права root".

Если вы имеете в виду, что пользователи клиента будут иметь привилегии root на клиенте, и вы не хотите, чтобы у них были права root на хосте, тогда вы просто не используете опцию "no_root_squash". Вы также можете сделать такие вещи, как отключение setuid, чтобы снизить риск для клиента с сервера.

У вас также есть возможность использовать kerberos с NFSv4, см. Эту ссылку.

Другими словами, NFSv4 может дать вам необходимую безопасность, будучи немного более... (масштабируемым?) .. везде с помощью sshfs. Это все еще может быть не то, что вы хотите, но я бы не отказался от этого слишком рано.

С Kerberos только сервер kdc предоставляет токены аутентификации. Клиентский компьютер сам по себе может аутентифицироваться только как хост (и это если вы дадите ему keytab для соответствующего субъекта nfs/client-hostname@REALM), и это только даст ему право общаться с сервером nfs. Это пользователи, которые имеют возможность аутентификации, а сервер nfs разрешает им только доступ к их собственным файлам. С sec = krb5p сервер также предотвращает отслеживание и изменение.

Быть root не даст вашим пользователям несоответствующие привилегии. Единственный способ получить доступ к большему количеству файлов - это взломать компьютеры друг друга, взломать сервер nfs или kdc. NFSv4 с Kerberos хорошо соответствует вашим требованиям безопасности.

Вот еще о модели безопасности:

Если вы смотрите на развертывание, вот некоторые учебники по центру Debian/ Ubuntu. Я выбрал простые настройки без LDAP. Эти дистрибутивы имеют конфигурацию на основе debconf, которая поможет вам в этом.

Мои дополнения: вам не нужно указывать enctype des-cbc-crc, но вам нужно разрешить_weak_crypto в krb5.conf, чтобы протокол связи мог использовать des-cbc-crc для потокового шифрования. Это станет ненужным в ядрах 2.6.35.

Если вы смотрите на что-то вроде устройства, есть FreeIPA.

sshfs это путь. На клиенте:

sshfs -o idmap=user,workaround=rename user@server:/home/user/share /home/user/share

Разрешения такие же, как у ssh... потому что вы используете ssh! Приятно то, что вам не нужно ничего трогать на сервере, при условии, что sshd установлен и работает правильно. Может не иметь производительность, как другие предложения, но это очень просто.

Самба действительно звучит как ваш лучший выбор. У samba действительно есть расширения Unix, поэтому при монтировании с использованием в качестве cifs в Linux он должен показывать правильные разрешения Unix и все такое. Я думаю, что это будет лучшим вариантом для ваших ограничений. если это не сработает, sshfs можно будет использовать в крайнем случае, но он не будет иметь такую ​​же хорошую производительность или интеграцию в ОС, как samba.

Поддерживает ли OpenAFS аутентификацию и доступ на уровне пользователя?

Да, похоже, что OpenAFS удовлетворит ваши требования, но так же, как и Kerberized NFSv4. В обеих этих средах вам не нужно "доверять" клиентам; контроль доступа осуществляется серверами. Предыдущие версии NFS требовали от вас "доверять" клиентам, а Kerberized NFSv4 - нет. OpenAFS никогда не требовала "доверенных" клиентов, а также использует Kerberos для аутентификации и безопасности.

Другие вопросы по тегам