Filesystems

防止 linux 中的 root 更改 GPFS 文件系統中的文件夾權限

  • February 4, 2016

我在我創建的 GPFS/SpectrumScale 文件系統中創建了 NFS 導出。我已經為我們的域啟用了基於 AD 的身份驗證。一切正常。NFS 導出是使用 NFS4 創建的。

NFS 導出安裝在一些 linux VM 上。問題是當使用者執行 sudo 時,無論 ACL 允許什麼,他們都可以訪問所有文件夾並更改文件/文件夾的權限。

有沒有辦法防止 root 覆蓋 ACL?

在 GPFS 中,我設置了 NFS 導出並ROOT_SQUASH認為可以這樣做,但是當我使用沒有域管理員權限的測試帳戶進行 sudo 時,我仍然能夠更改權限。

似乎ROOT_SQUASH還沒有傳播出去。稍後我執行了以下命令並查看ROOT_SQUASH了結果:

mmnfs export list --nfsdefs /comp/zixf401/NFS

然後,我註銷了正在測試 NFS 掛載的 Linux VM,然後重新登錄。執行sudo su命令並嘗試訪問chmod 770NFS 掛載中的一個文件夾後,我收到了一條我希望的不允許的消息。

好吧,從技術上講,如果你不強制執行更強的安全性,那麼 NFS 預設會使用 auth_sys,其中客戶端只是告訴 NFS 伺服器使用哪個 UID 和 GID,IOW 沒有安全性。解決此問題的最佳方法是使用 sec=krb5 導出並強制執行 RPCSEC_GSS。您已經有了 AD,它是帶有 LDAP 的 kerberos 伺服器。檢查此連結以查看如何配置客戶端和伺服器

引用自:https://serverfault.com/questions/754080