Menggunakan ACL melalui sistem read only / remote files


9

Saya ingin mendefinisikan ACL lokal untuk digunakan pada sistem file yang dipasang dari jarak jauh. Sistem file sudah terpasang melalui FUSE autofs dan sshfs.

Idenya adalah bahwa kita dapat mengatur pengguna yang dipenjara di server lompatan dengan akses untuk membaca file di server lain di lingkungan dan menggunakan perintah standar tanpa banyak paparan dan tentu saja tanpa memberikan akses ssh.
Masalahnya adalah, sshfs akan selalu berjalan sebagai pengguna yang sama, sehingga file dalam jalur pada sistem jarak jauh akan diekspos terlepas dari pengguna yang mereka gunakan.

Saya telah menjelajahi pengkodean pemeriksaan keamanan langsung ke sshfs, tetapi sebelum saya menyusuri jalan itu saya ingin melihat apakah ada paket lain yang dapat menambahkan dukungan ACL ke sistem file yang hanya dapat dibaca.

Sunting: @peterph Bagaimana Anda mengatur ACL Anda untuk berbagi NFS ketika sistem file jarak jauh hanya dibaca?

sshfs benar-benar mudah untuk dibongkar, jadi saya menambahkan cek ACL ke sshfs sendiri beberapa hari setelah menulis ini. Pengguna dipenjara saat login melalui OpenSSH dan jailkit, dan akses sshfs read only reads sebagai pengguna yang tidak memiliki hak istimewa dari sana. Setiap dir / file stat atau baca menghasilkan acara syslog. Ini berfungsi seperti mantra dan pengguna tidak memiliki hak dari kotak yang dipenjara.


4
bindf tidak mendukung ACL. rofs tidak dirawat dan saya pikir itu tidak mendukung apa yang Anda inginkan. Saya akan menggunakan pendekatan yang lebih sederhana: biarkan setiap pengguna memasang sistem file sshfs untuk dirinya sendiri, dan memberikan masing-masing pengguna akun SFTP-only terpisah di server. Lebih mudah untuk menjaga pengaturan sederhana tetap aman daripada alat Rube Goldberg.
Gilles 'SANGAT berhenti menjadi jahat'

Jawaban:


1

Apakah ada alasan untuk tidak menggunakan NFS dengan dukungan ACL? Anda bisa melakukan tunnel melalui SSH / VPN, atau menggunakan NFSv4 yang mendukung enkripsi sendiri.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.