ServerA 需要在某个位置安装一个 ServerB 的目录,并具有写权限。
我一直在为此使用 SSHFS。我发现 SSHFS 非常稳定(100% 可靠),而 NFS 不太稳定,而且配置起来非常困难,默认情况下公开,等等...
使用 SSHFS,我必须在 ServerB 上创建一个本地用户,并将其私钥放在 ServerA 上,以设置挂载。
然而,如果有人入侵了服务器A,黑客将能够访问任何通过使用该用户及其私钥登录 ServerB,可以在 ServerB 的任何位置获取可能具有“其他”读取权限的目录/文件。
有什么方法可以防止这种情况,以便该用户可以访问的唯一目录是需要在 ServerA 上挂载的目录?
答案1
配置 ssh 服务器,将用户及其文件置于受限制的 chroot 中。如果使用 OpenSSH,可能需要使用指令ChrootDirectory 和ForceCommand internal-sftp
NFS 需要定义导出卷,并且不是远程 shell。从这些方面来看,它非常适合您的文件共享场景。虽然 NFS 可以加密,但通常不会加密,因此出于安全原因,它通常仅限于私有网络。
如果网络中断或者遥控器意外消失,都会导致糟糕的性能体验。