Security
“Kerberised”NFSv4 是否安全地防止惡意客戶端欺騙使用者
我已經閱讀了關於通過 NFSv4 使用 sec=krb5 導出的共享是否受到加密保護以防止惡意客戶端安裝共享然後欺騙使用者以訪問未經授權的文件的相互矛盾的聲明。
例如,這裡有一個這樣的語句:
$$ In the context of Kerberos-authenticated NFS $$… NFSv4 仍然依賴客戶端誠實地報告哪個使用者正在訪問文件(現在使用字母 loginID 而不是數字 UID)。
在這裡,我們有一個矛盾的陳述:
使用 RPCSEC_GSS Kerberos 機制,伺服器不再依賴客戶端來正確表示哪個使用者正在訪問文件,就像 AUTH_SYS 的情況一樣。相反,它使用加密技術對伺服器的使用者進行身份驗證,防止惡意客戶端在沒有該使用者的 kerberos 憑據的情況下模擬使用者。
關於 NFSv4 文件訪問的實際情況如何?
sec=sys 授權完全依賴於客戶端上使用者的 uidnumber 匹配伺服器上的文件。對於具有 root 訪問權限的人來說,偽裝成另一個使用者是微不足道的。
sec=krb5 要求使用者對 kdc(不僅僅是客戶端)進行身份驗證,這使得本地管理員更難模擬使用者。但是,它不是萬無一失的,並且在 kerberos 領域註冊的客戶端電腦被認為是“受信任的”。假設 NFSv4 共享由經過身份驗證的使用者正確掛載 - 然後客戶端的根可以通過“su”訪問共享(可能還有他們的 tgt,現在記憶體在客戶端上)。
我很高興得到糾正(並希望聽到對 krb NFS 有更好理解的人的意見)——這是我在有限測試中的觀察。