Korzystanie z list ACL w systemie plików tylko do odczytu / zdalnym


9

Chciałbym zdefiniować lokalne listy ACL, które będą używane w zdalnie montowanym systemie plików. System plików jest montowany przez autofs i sshfs FUSE.

Chodzi o to, że moglibyśmy ustawić uwięzionego użytkownika na serwerze skokowym z dostępem do odczytu plików na innych serwerach w środowisku i używać standardowych poleceń bez dużej ekspozycji i na pewno bez udzielania dostępu ssh.
Problem polega na tym, że sshfs zawsze będzie działał jako ten sam użytkownik, więc pliki w ścieżce w systemie zdalnym byłyby widoczne bez względu na użytkownika, dla którego były one narażone.

Zbadałem kodowanie kontroli bezpieczeństwa bezpośrednio w sshfs, ale zanim pójdę tą drogą, chciałbym sprawdzić, czy jakikolwiek inny pakiet może dodać obsługę ACL do systemu plików, który w przeciwnym razie byłby tylko do odczytu.

Edycja: @peterph Jak ustawić listy ACL dla udziału NFS, gdy zdalny system plików jest tylko do odczytu?

sshfs bardzo łatwo było rozebrać, więc dodałem czek ACL bezpośrednio do samego sshfs kilka dni po napisaniu tego. Użytkownicy zostają uwięzieni przy logowaniu przez OpenSSH i jailkit i stamtąd uzyskują dostęp do czytnika sshfs tylko do odczytu jako użytkownik nieuprzywilejowany. Każde statystyki lub odczyt katalogu / pliku generuje zdarzenie syslog. Działa jak urok, a użytkownicy nie mają żadnych praw z jednego więzionego pudełka.


4
bindfs nie obsługuje list ACL. rofs jest nieobsługiwany i nie sądzę, aby wspierał to, czego chcesz. Postawiłbym na prostsze podejście: pozwól każdemu użytkownikowi zamontować system plików sshfs dla siebie i daj każdemu użytkownikowi osobne konto tylko na SFTP na serwerze. Łatwiej jest zabezpieczyć proste konfiguracje niż urządzenia Rube Goldberg.
Gilles 'SO - przestań być zły'

Odpowiedzi:


1

Czy istnieje powód, aby nie używać NFS z obsługą ACL? Możesz go tunelować przez SSH / VPN lub użyć NFSv4, który sam obsługuje szyfrowanie.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.