我在我创建的 GPFS/SpectrumScale 文件系统中创建了 NFS 导出。我已经为我们的域启用了基于 AD 的身份验证。一切正常。NFS 导出是使用 NFS4 创建的。
NFS 导出安装在一些 linux VM 上。问题是当用户运行 sudo 时,无论 ACL 允许什么,他们都可以访问所有文件夹并更改文件/文件夹的权限。
有没有办法防止 root 覆盖 ACL?
在 GPFS 中,我设置了 NFS 导出并ROOT_SQUASH认为可以这样做,但是当我使用没有域管理员权限的测试帐户进行 sudo 时,我仍然能够更改权限。
好吧,从技术上讲,如果你不强制执行更强的安全性,那么 NFS 默认会使用 auth_sys,其中客户端只是告诉 NFS 服务器使用哪个 UID 和 GID,IOW 没有安全性。解决此问题的最佳方法是使用 sec=krb5 导出并强制执行 RPCSEC_GSS。您已经有了 AD,它是带有 LDAP 的 kerberos 服务器。检查此链接以查看如何配置客户端和服务器
似乎
ROOT_SQUASH还没有传播出去。稍后我运行了以下命令并查看ROOT_SQUASH了结果:然后,我从正在测试 NFS 挂载的 Linux VM 注销并重新登录。运行
sudo su命令并尝试访问chmod 770NFS 挂载中的一个文件夹后,我收到了我希望的不允许的消息。