Linux

限制對 NFS 共享的 RW 訪問

  • May 21, 2018

我有一個 Qumulo 儲存系統,它只創建一個 NFS 掛載,我們的 Linux 客戶端可以掛載和訪問它。在我們的環境中,我們將 Linux 伺服器配置為通過 RFC2307 向 AD 進行身份驗證

我們已將其安裝在伺服器上,並且我們發現這將允許使用者寫入此文件夾,無論他們是否在正確的組中。所以基本上每個可以登錄Linux伺服器的人都可以在這個目錄中讀寫文件。

[root@LinuxServer proj]# showmount -e org-fs
Export list for org-fs:
/         (everyone)
/Home     (everyone)
/Projects (everyone)
/NBU      (everyone)



[root@LinuxServer proj]# ls -lah /mnt/proj
total 16K
drwxr-xr-x 3 root root         4.0K May 11 14:19 .
drwxr-xr-x 6 root root         4.0K May 11 14:19 ..
drwxrwx--- 3 root smith_lab  512 May 10 15:36 Smith



[root@LinuxServer Smith]# ls -lah /mnt/proj/Smith
total 12K
drwxrwx--- 3 root smith_lab  512 May 10 15:36 .
drwxr-xr-x 3 root root         4.0K May 11 14:19 ..
drwxrwx--- 2 root smith_lab  512 May 21 11:55 Smith


[root@LinuxServer Smith]# mount
org-fs:/Projects/Smith on /mnt/proj/Smith type nfs (rw,addr=192.168.2.33)



[root@LinuxServer project1]# ls -lah /mnt/proj/Smith/project1/
total 12K
drwxrwx--- 2 root     smith_lab  512 May 21 12:26 .
drwxrwx--- 3 root     smith_lab  512 May 10 15:36 ..
-rwxrwx--- 1 phonic org_default  10 May 21 12:26 Test.txt



[root@LinuxServer project1]# id phonic
uid=10952(phonic) gid=10000(org_default) groups=10000(org_default),10021(webadmin),10005(it_admin)

如您所見,phonic 的主要組是 org_default。該組無權訪問 AD 中的 smith_lab,我也不是任何 smith_lab 組的成員。但是,它讓我在該目錄中創建了一個 Test.txt 文件。我的大部分Google搜尋都回來了,因為“我想給每個人 RW 訪問權限”我已經有了,我正試圖把它拿走。

哇,我不敢相信我沒有弄清楚這一點。通過域的傳播似乎很慢。我將自己添加到組中,我可以寫作,我刪除自己,我仍然可以寫作。我退出系統並等待了大約 1 小時,當我回到它時,我無法再寫入它。我之前等了大約 15 分鐘,我仍然可以寫信給它。我想它需要全職。

引用自:https://serverfault.com/questions/913124