这个问题有点,有点,已经问过了,但是 NFS+NIS 设置的一个安全问题仍然困扰着我:如果你知道某人的用户名/uid,你可以设置一个 *nix 计算机,在本地创建一个同名用户/uid 和 presto,你可以挂载服务器 FS,它会让你访问用户的文件。
所以我的问题是具体的:是否有一个替代设置不能访问服务器文件,没有办法,没有办法,除非你有一个有效的用户名和密码,即使你设置了你自己的计算机并将它放在网络上?
用户仍然需要能够登录到他们的工作站并使用他们的服务器文件,而不必一直提供他们的密码。如果它只在像 Gnome 这样的 Linux GUI 中工作,那也没关系。
使用NFSv4 和 kerberos不能解决安全问题吗?Kerberos 在您上一个问题的答案中被提及,但您在关于安全问题的新问题中没有提及它。
我看不到需要 kerberos 身份验证的 nfs 共享如何被简单匹配的用户名/uid 所欺骗。
如果您使用的是Ubuntu教程,可以在此处找到。
NIS 是古老的,甚至忘记它的存在。您可以使用 LDAP 以更现代的方式实现相同的目标。我建议您查看 Kerberos 和 NFSv4 进行用户身份验证。这是一个相当多的基础设施设置,但是一旦你把它全部滚动起来,维护起来并不难。
我不是 NFS/NIS 的粉丝,但您描述的安全问题是配置问题,而不是固有缺陷:您可以将 NFS 服务器配置为仅接受来自已知主机的挂载请求(或者如果您想花哨,请限制它由 netgroup 提供),因此 J. Random Hacker 不能只是插入并开始安装东西。有关详细信息,请参阅
exports(5)联机帮助页,或浏览 O'Reilly NFS+NIS 书籍的副本以获得非常好的示例。(这并不能解决 NFS/NIS 的任何其他固有缺陷问题,但它是您当前问题的直接解决方案 :)。
用于统一登录的 LDAP 或 Samba。任何网络文件系统都应该让您完成等式。