Filesystems
防止 linux 中的 root 更改 GPFS 文件系統中的文件夾權限
我在我創建的 GPFS/SpectrumScale 文件系統中創建了 NFS 導出。我已經為我們的域啟用了基於 AD 的身份驗證。一切正常。NFS 導出是使用 NFS4 創建的。
NFS 導出安裝在一些 linux VM 上。問題是當使用者執行 sudo 時,無論 ACL 允許什麼,他們都可以訪問所有文件夾並更改文件/文件夾的權限。
有沒有辦法防止 root 覆蓋 ACL?
在 GPFS 中,我設置了 NFS 導出並
ROOT_SQUASH
認為可以這樣做,但是當我使用沒有域管理員權限的測試帳戶進行 sudo 時,我仍然能夠更改權限。
似乎
ROOT_SQUASH
還沒有傳播出去。稍後我執行了以下命令並查看ROOT_SQUASH
了結果:mmnfs export list --nfsdefs /comp/zixf401/NFS
然後,我註銷了正在測試 NFS 掛載的 Linux VM,然後重新登錄。執行
sudo su
命令並嘗試訪問chmod 770
NFS 掛載中的一個文件夾後,我收到了一條我希望的不允許的消息。
好吧,從技術上講,如果你不強制執行更強的安全性,那麼 NFS 預設會使用 auth_sys,其中客戶端只是告訴 NFS 伺服器使用哪個 UID 和 GID,IOW 沒有安全性。解決此問題的最佳方法是使用 sec=krb5 導出並強制執行 RPCSEC_GSS。您已經有了 AD,它是帶有 LDAP 的 kerberos 伺服器。檢查此連結以查看如何配置客戶端和伺服器