限制對 NFS 共享的 RW 訪問

我有一個 Qumulo 儲存系統，它只創建一個 NFS 掛載，我們的 Linux 客戶端可以掛載和訪問它。在我們的環境中，我們將 Linux 伺服器配置為通過 RFC2307 向 AD 進行身份驗證

我們已將其安裝在伺服器上，並且我們發現這將允許使用者寫入此文件夾，無論他們是否在正確的組中。所以基本上每個可以登錄Linux伺服器的人都可以在這個目錄中讀寫文件。

[root@LinuxServer proj]# showmount -e org-fs
Export list for org-fs:
/         (everyone)
/Home     (everyone)
/Projects (everyone)
/NBU      (everyone)



[root@LinuxServer proj]# ls -lah /mnt/proj
total 16K
drwxr-xr-x 3 root root         4.0K May 11 14:19 .
drwxr-xr-x 6 root root         4.0K May 11 14:19 ..
drwxrwx--- 3 root smith_lab  512 May 10 15:36 Smith



[root@LinuxServer Smith]# ls -lah /mnt/proj/Smith
total 12K
drwxrwx--- 3 root smith_lab  512 May 10 15:36 .
drwxr-xr-x 3 root root         4.0K May 11 14:19 ..
drwxrwx--- 2 root smith_lab  512 May 21 11:55 Smith


[root@LinuxServer Smith]# mount
org-fs:/Projects/Smith on /mnt/proj/Smith type nfs (rw,addr=192.168.2.33)



[root@LinuxServer project1]# ls -lah /mnt/proj/Smith/project1/
total 12K
drwxrwx--- 2 root     smith_lab  512 May 21 12:26 .
drwxrwx--- 3 root     smith_lab  512 May 10 15:36 ..
-rwxrwx--- 1 phonic org_default  10 May 21 12:26 Test.txt



[root@LinuxServer project1]# id phonic
uid=10952(phonic) gid=10000(org_default) groups=10000(org_default),10021(webadmin),10005(it_admin)

如您所見，phonic 的主要組是 org_default。該組無權訪問 AD 中的 smith_lab，我也不是任何 smith_lab 組的成員。但是，它讓我在該目錄中創建了一個 Test.txt 文件。我的大部分Google搜尋都回來了，因為“我想給每個人 RW 訪問權限”我已經有了，我正試圖把它拿走。

哇，我不敢相信我沒有弄清楚這一點。通過域的傳播似乎很慢。我將自己添加到組中，我可以寫作，我刪除自己，我仍然可以寫作。我退出系統並等待了大約 1 小時，當我回到它時，我無法再寫入它。我之前等了大約 15 分鐘，我仍然可以寫信給它。我想它需要全職。

引用自：https://serverfault.com/questions/913124