我想知道有哪些选项可以使用集中式身份验证并从任何 Linux 计算机访问用户主目录,同时保持主目录的隐私。
现在,我面临着 NIS 与 NFS 共享的设置,其中任何对其中一台计算机具有 root 访问权限的人都可以获得对所有用户主目录的读取访问权限。
什么设置可以防止这种情况发生?我也愿意接受涉及 AD 的建议,因为我们正在混合环境中运行。
要求
- 用户必须能够在某些计算机上拥有 root 访问权限
- 用户不应该能够获得其他主目录的读取权限。
答案1
NFS 允许使用选项导出共享root_squash
。这映射root
到用户nobody
。这让您的用户成为本地计算机上的 root 用户,但不能以 root 身份访问共享上的文件。
但是,如果您是本地计算机上的 root 用户,则可以模拟任何人(使用您选择的 UID 创建新用户、更改本地密码等)。没有办法将某人拒之门外。
答案2
温习 umask、文件/文件夹权限的使用、可能使用 sudo(本地每个用户提升的权限),或者如果您希望使用 AD,则支持 NIS、KRB5 和 LDAP 的 PAM 模块组合