我在工作中拥有基础到中等高级的网络设置。我们运行一个 ubuntu 10.04 文件服务器,通过 NFS 为几个不同的目录(包括 /home)提供服务,并且所有客户端计算机(各种 ubuntu 10.04 到 11.04)都通过 LDAP 进行身份验证并挂载这些 NFS 共享。
随着我们招收越来越多的实习生,我对我的 NFS 共享的安全性越来越担心,因此我正在寻找减少这种风险的方法。
我的一个想法是,不是在启动时通过 /etc/fstab 安装所有共享,而是在登录时安装它们,并且仅根据用户所在的组安装某些目录。
举例来说,如果实习生登录,它会挂载 /exports/users /exports/interns 等。但如果会计部门的某个人登录,它会挂载 /exports/users /exports/accounting /exports/personel 等。基本上,只有当用户属于正确的组时,才会挂载“敏感”导出。
这可能吗?如果可以,怎么办?如果不行,还有其他建议可以缓解我(可能过度)偏执的心情吗?
答案1
嗯。一种快速而粗略的方法是登录时执行脚本而不是 shell。该脚本应该检查用户的组并挂载适当的目录。之后照常执行 shell。
如何做到这一点……取决于它们的连接方式。是通过 ssh 吗?
检查此链接上的“用户 Rc 文件”http://oreilly.com/catalog/sshtdg/chapter/ch08.html#74105