我想定义本地 ACL 以在远程安装的文件系统上使用。文件系统通过 autofs 和 sshfs FUSE 挂载。
我们的想法是,我们可以在跳转服务器上设置一个被监禁的用户,该用户可以读取环境中其他服务器上的文件,并使用标准命令,而无需大量暴露,当然也无需授予 ssh 访问权限。
问题是,sshfs 将始终以同一用户身份运行,因此远程系统上路径中的文件将被公开,无论其公开给哪个用户。
我已经探索过将安全检查编码到 sshfs 中,但在我走这条路之前,我想看看是否有任何其他包可以将 ACL 支持添加到其他只读文件系统中。
编辑:@peterph 当远程文件系统为只读时,您将如何设置 NFS 共享的 ACL?
sshfs 确实很容易拆开,所以在写完这篇文章几天后,我将 ACL 检查直接添加到 sshfs 本身中。用户通过 OpenSSH 和 jamkit 登录时会被监禁,并以非特权用户身份从那里访问只读 sshfs 自动挂载。每个目录/文件统计或读取都会生成一个系统日志事件。它一直像一种魅力一样运作,用户没有任何权利摆脱这个被监禁的盒子。
答案1
是否有理由不使用支持 ACL 的 NFS?您可以通过 SSH/VPN 建立隧道,也可以使用本身支持加密的 NFSv4。