Використання ACL-файлів над файловою системою лише для читання / віддаленою


9

Я хотів би визначити локальні ACL, які будуть використовуватися у віддалено змонтованій файловій системі. Файлова система монтується через autofs та sshfs FUSE.

Ідея полягає в тому, що ми могли б налаштувати засудженого користувача на стрибаючий сервер з доступом для читання файлів на інших серверах у навколишньому середовищі та використовувати стандартні команди без великої експозиції і, звичайно, без надання доступу до ssh.
Проблема полягає в тому, що sshfs завжди працюватиме як один і той же користувач, тому файли, що знаходяться в межах шляху на віддаленій системі, будуть відкриті незалежно від того, для кого вони потрапляли.

Я досліджував кодування перевірки безпеки прямо в sshfs, але перш ніж піти по цій дорозі, я хотів би дізнатися, чи може будь-який інший пакет додати підтримку ACL до файлової системи, що читається інакше.

Редагувати: @peterph Як би ви встановили ACL для спільного доступу до NFS, коли віддалена файлова система читається лише?

sshfs було дуже просто розділити, тому я додав перевірку ACL прямо в sshfs через кілька днів після написання цього. Користувачі потрапляють у в'язницю під час входу через OpenSSH та jailkit, і отримують доступ до sshfs automount лише для читання. Кожен dir / файл stat або прочитаний генерує подію syslog. Це працює як принадність, і користувачі не мають жодних прав на одну в'язницю.


4
bindfs не підтримує ACL. rofs не підтримується, і я не думаю, що він підтримує те, що ти хочеш. Я б пішов на більш простий підхід: дозвольте кожному користувачеві монтувати файлову систему sshfs для себе та надавати кожному користувачеві окремий обліковий запис лише для SFTP на сервері. Простіше зберігати прості налаштування в безпеці, ніж випадки Rube Goldberg.
Жил "ТАК - перестань бути злим"

Відповіді:


1

Чи є причина не використовувати NFS з підтримкою ACL? Ви можете або тунелювати його через SSH / VPN, або використовувати NFSv4, який підтримує шифрування самостійно.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.