Я хотів би визначити локальні ACL, які будуть використовуватися у віддалено змонтованій файловій системі. Файлова система монтується через autofs та sshfs FUSE.
Ідея полягає в тому, що ми могли б налаштувати засудженого користувача на стрибаючий сервер з доступом для читання файлів на інших серверах у навколишньому середовищі та використовувати стандартні команди без великої експозиції і, звичайно, без надання доступу до ssh.
Проблема полягає в тому, що sshfs завжди працюватиме як один і той же користувач, тому файли, що знаходяться в межах шляху на віддаленій системі, будуть відкриті незалежно від того, для кого вони потрапляли.
Я досліджував кодування перевірки безпеки прямо в sshfs, але перш ніж піти по цій дорозі, я хотів би дізнатися, чи може будь-який інший пакет додати підтримку ACL до файлової системи, що читається інакше.
Редагувати: @peterph Як би ви встановили ACL для спільного доступу до NFS, коли віддалена файлова система читається лише?
sshfs було дуже просто розділити, тому я додав перевірку ACL прямо в sshfs через кілька днів після написання цього. Користувачі потрапляють у в'язницю під час входу через OpenSSH та jailkit, і отримують доступ до sshfs automount лише для читання. Кожен dir / файл stat або прочитаний генерує подію syslog. Це працює як принадність, і користувачі не мають жодних прав на одну в'язницю.