防止 linux 中的 root 更改 GPFS 文件系統中的文件夾權限

我在我創建的 GPFS/SpectrumScale 文件系統中創建了 NFS 導出。我已經為我們的域啟用了基於 AD 的身份驗證。一切正常。NFS 導出是使用 NFS4 創建的。

NFS 導出安裝在一些 linux VM 上。問題是當使用者執行 sudo 時，無論 ACL 允許什麼，他們都可以訪問所有文件夾並更改文件/文件夾的權限。

有沒有辦法防止 root 覆蓋 ACL？

在 GPFS 中，我設置了 NFS 導出並ROOT_SQUASH認為可以這樣做，但是當我使用沒有域管理員權限的測試帳戶進行 sudo 時，我仍然能夠更改權限。

似乎ROOT_SQUASH還沒有傳播出去。稍後我執行了以下命令並查看ROOT_SQUASH了結果：

mmnfs export list --nfsdefs /comp/zixf401/NFS

然後，我註銷了正在測試 NFS 掛載的 Linux VM，然後重新登錄。執行sudo su命令並嘗試訪問chmod 770NFS 掛載中的一個文件夾後，我收到了一條我希望的不允許的消息。

好吧，從技術上講，如果你不強制執行更強的安全性，那麼 NFS 預設會使用 auth_sys，其中客戶端只是告訴 NFS 伺服器使用哪個 UID 和 GID，IOW 沒有安全性。解決此問題的最佳方法是使用 sec=krb5 導出並強制執行 RPCSEC_GSS。您已經有了 AD，它是帶有 LDAP 的 kerberos 伺服器。檢查此連結以查看如何配置客戶端和伺服器

引用自：https://serverfault.com/questions/754080