Filesystem jaringan dengan keamanan tingkat pengguna untuk linux

Saya ingin mengaktifkan file sharing antara server dan klien, baik linux. Saya tidak ingin bergantung pada kepercayaan mesin seperti di NFSv4 karena pengguna klien akan memiliki hak akses root. Apa pilihan saya selain SMB (SAMBA)? Apakah OpenAFS mendukung otentikasi & akses tingkat pengguna? Menggunakan WebDAV / ftp / sshfs yang terpasang tampaknya konyol untuk LAN.

Saya tidak yakin saya mengerti sepenuhnya:

"Saya tidak ingin bergantung pada kepercayaan mesin seperti di NFSv4 karena pengguna klien akan memiliki hak akses root."

Jika Anda bermaksud bahwa pengguna klien akan memiliki hak akses root pada klien dan Anda tidak ingin mereka memiliki root pada host maka Anda tidak menggunakan opsi "no_root_squash". Anda juga dapat melakukan hal-hal seperti menonaktifkan setuid untuk membantu mengurangi risiko klien dari server.

Anda juga memiliki opsi untuk menggunakan kerberos dengan NFSv4, lihat tautan ini .

Jadi dengan kata lain, NFSv4 mungkin memberi Anda keamanan yang Anda butuhkan sambil sedikit lebih ... (scalable?) .. menggunakan sshfs di mana-mana. Mungkin ini masih bukan yang Anda inginkan, tetapi saya tidak akan menyerah begitu saja.

Dengan Kerberos, hanya server kdc yang memberikan token otentikasi. Mesin klien dengan sendirinya hanya dapat mengotentikasi sebagai host (dan itu adalah jika Anda memberikan keytab ke kepala nfs / client-hostname @ REALM yang cocok), dan yang hanya memberikannya hak untuk berbicara dengan server nfs. Itu adalah pengguna yang memiliki kemampuan untuk mengotentikasi, dan server nfs hanya mengizinkan mereka untuk mengakses file mereka sendiri. Dengan sec = krb5p server mencegah pengintaian dan perubahan juga.

Menjadi root tidak akan memberikan hak istimewa yang tidak pantas kepada pengguna Anda. Satu-satunya cara mereka mendapatkan akses ke lebih banyak file adalah dengan meretas mesin masing-masing, meretas server nfs atau kdc. NFSv4 dengan Kerberos sangat sesuai dengan kebutuhan keamanan Anda.

Berikut ini lebih lanjut tentang model keamanan:

• Merancang sistem otentikasi: dialog dalam empat adegan

Jika Anda melihat penyebaran, berikut adalah beberapa tutorial sentris debian / ubuntu. Saya memilih pengaturan sederhana tanpa LDAP. Distribusi ini memiliki konfigurasi berbasis debconf yang membuat Anda bisa sampai di sana.

• Menyiapkan Kerberos (perhatikan persyaratan fqdn).
• Menyiapkan NFSv4

Tambahan saya: Anda tidak perlu menentukan enctype des-cbc-crc, tetapi Anda harus mengizinkan_weak_crypto di krb5.conf sehingga protokol komunikasi dapat menggunakan des-cbc-crc untuk enkripsi aliran. Ini akan menjadi tidak perlu di kernel 2.6.35.

Jika Anda melihat sesuatu yang mirip alat, ada FreeIPA .

sshfs adalah cara untuk pergi. Pada klien:

sshfs -o idmap=user,workaround=rename user@server:/home/user/share /home/user/share

Izin sama dengan ssh ... karena Anda menggunakan ssh! Yang menyenangkan adalah Anda tidak perlu menyentuh apa pun di server, dengan asumsi sshd diinstal dan berjalan dengan benar. Mungkin tidak memiliki kinerja seperti saran lainnya, tetapi sangat sederhana.

samba memang terdengar seperti taruhan terbaik Anda. samba memang memiliki ekstensi unix jadi ketika dipasang menggunakan sebagai cifs di linux itu harus menunjukkan izin unix yang tepat dan yang lainnya. Saya pikir itu akan menjadi pilihan terbaik untuk kendala Anda. jika itu tidak berhasil sshfs dapat digunakan dalam keadaan darurat tetapi itu tidak akan memiliki kinerja yang baik atau integrasi ke dalam OS seperti samba.

Apakah OpenAFS mendukung otentikasi & akses tingkat pengguna?

Ya, sepertinya OpenAFS akan memenuhi kebutuhan Anda di sini, tetapi demikian juga Kerberized NFSv4. Di kedua lingkungan itu, Anda tidak perlu "mempercayai" klien; kontrol akses diberlakukan oleh server. Versi NFS sebelumnya memang mengharuskan Anda untuk "mempercayai" klien secara efektif, tetapi NFSv4 Kerberized tidak. OpenAFS tidak pernah membutuhkan klien "tepercaya", dan juga bergantung pada Kerberos untuk otentikasi dan keamanan.