在只读/远程文件系统上使用ACL


9

我想定义要在远程安装的文件系统上使用的本地ACL。文件系统通过autofs和sshfs FUSE挂载。

这样做的想法是,我们可以在跳转服务器上设置一个被监禁的用户,该用户有权访问环境中其他服务器上的文件,并使用标准命令,而不会造成很多暴露,当然也无需授予ssh访问权限。
问题是,sshfs将始终以同一用户身份运行,因此无论公开用户是谁,远程系统路径上的文件都会公开。

我已经探索过将安全性检查直接编码到sshfs中,但是在走这条路之前,我想看看是否有其他软件包可以将ACL支持添加到原本只读的文件系统中。

编辑:@peterph当远程文件系统为只读时,如何设置NFS共享的ACL?

sshfs真的很容易分解,因此在编写此代码几天后,我就在sshfs本身中添加了ACL检查。用户通过OpenSSH和jailkit登录时被监禁,并从那里以非特权用户身份访问只读sshfs自动挂载。每个目录/文件的状态或读取都会生成一个系统日志事件。它像一种魅力一样运作,用户没有权利从一个牢牢的盒子里走出来。


4
bindfs不支持ACL。rofs不需要维护,无论如何我都不认为它支持您想要的东西。我想采用一种更简单的方法:让每个用户自己安装一个sshfs文件系统,并为每个用户在服务器上分配一个单独的仅SFTP帐户。与Rube Goldberg装置相比,保持简单设置的安全性要容易得多。
吉尔斯(Gillles)“所以-别再邪恶了”

Answers:


1

是否有理由不将NFS与ACL支持一起使用?您可以通过SSH / VPN对其进行隧道传输,也可以使用本身支持加密的NFSv4。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.