Linux
限制對 NFS 共享的 RW 訪問
我有一個 Qumulo 儲存系統,它只創建一個 NFS 掛載,我們的 Linux 客戶端可以掛載和訪問它。在我們的環境中,我們將 Linux 伺服器配置為通過 RFC2307 向 AD 進行身份驗證
我們已將其安裝在伺服器上,並且我們發現這將允許使用者寫入此文件夾,無論他們是否在正確的組中。所以基本上每個可以登錄Linux伺服器的人都可以在這個目錄中讀寫文件。
[root@LinuxServer proj]# showmount -e org-fs Export list for org-fs: / (everyone) /Home (everyone) /Projects (everyone) /NBU (everyone) [root@LinuxServer proj]# ls -lah /mnt/proj total 16K drwxr-xr-x 3 root root 4.0K May 11 14:19 . drwxr-xr-x 6 root root 4.0K May 11 14:19 .. drwxrwx--- 3 root smith_lab 512 May 10 15:36 Smith [root@LinuxServer Smith]# ls -lah /mnt/proj/Smith total 12K drwxrwx--- 3 root smith_lab 512 May 10 15:36 . drwxr-xr-x 3 root root 4.0K May 11 14:19 .. drwxrwx--- 2 root smith_lab 512 May 21 11:55 Smith [root@LinuxServer Smith]# mount org-fs:/Projects/Smith on /mnt/proj/Smith type nfs (rw,addr=192.168.2.33) [root@LinuxServer project1]# ls -lah /mnt/proj/Smith/project1/ total 12K drwxrwx--- 2 root smith_lab 512 May 21 12:26 . drwxrwx--- 3 root smith_lab 512 May 10 15:36 .. -rwxrwx--- 1 phonic org_default 10 May 21 12:26 Test.txt [root@LinuxServer project1]# id phonic uid=10952(phonic) gid=10000(org_default) groups=10000(org_default),10021(webadmin),10005(it_admin)
如您所見,phonic 的主要組是 org_default。該組無權訪問 AD 中的 smith_lab,我也不是任何 smith_lab 組的成員。但是,它讓我在該目錄中創建了一個 Test.txt 文件。我的大部分Google搜尋都回來了,因為“我想給每個人 RW 訪問權限”我已經有了,我正試圖把它拿走。
哇,我不敢相信我沒有弄清楚這一點。通過域的傳播似乎很慢。我將自己添加到組中,我可以寫作,我刪除自己,我仍然可以寫作。我退出系統並等待了大約 1 小時,當我回到它時,我無法再寫入它。我之前等了大約 15 分鐘,我仍然可以寫信給它。我想它需要全職。