我在自己创建的 GPFS/SpectrumScale 文件系统中创建了 NFS 导出。我已启用基于 AD 的域身份验证。一切正常。NFS 导出是使用 NFS4 创建的。
某些 Linux VM 上安装了 NFS 导出。问题是,当用户运行 sudo 时,他们可以访问所有文件夹并更改文件/文件夹的权限,而不管 ACL 允许什么。
有没有办法可以防止 root 覆盖 ACL?
在 GPFS 中,我设置了 NFS 导出,以为ROOT_SQUASH这样就可以了,但是当我使用没有域管理员权限的测试帐户进行 sudo 时,我仍然能够更改权限。
答案1
好吧,从技术上讲,如果您不强制实施更强大的安全性,那么 NFS 默认将使用 auth_sys,其中客户端只是告诉 NFS 服务器使用哪个 UID 和 GID,也就是说没有安全性。解决此问题的最佳方法是使用 sec=krb5 导出并强制实施 RPCSEC_GSS。您已经有 AD,它是带有 LDAP 的 kerberos 服务器。检查此链接了解如何配置客户端和服务器
答案2
看起来ROOT_SQUASH还没有传播出去。稍后我运行了以下命令并看到了ROOT_SQUASH结果:
mmnfs export list --nfsdefs /comp/zixf401/NFS
然后,我退出了正在测试 NFS 挂载的 Linux VM,然后重新登录。运行命令sudo su并尝试访问chmod 770NFS 挂载中的一个文件夹后,我收到了一条我所希望的不允许的消息。