Ich habe müßig http://nfs.sourceforge.net/nfs-howto/ar01s06.html gelesen und versucht zu verstehen, warum Localhost-Exporte schlecht waren, als ich zum Abschnitt "6.4. Tunneln von NFS durch SSH" kam. Alles in diesem Abschnitt darüber, dass es sich um eine mögliche Sicherheitslücke beim Exportieren von localhost handelt, da es anderen ermöglicht, den SSH-Port weiterzuleiten und auf die Freigabe zuzugreifen, war sinnvoll.
Hier ist meine Frage: Wie kann man verhindern, dass SSH-Tunnel die Sicherheit eines Systems untergraben, wenn Benutzer SSH auf einem Computer ausführen können, der eine Verbindung zu einem NFS-Server herstellen kann? Stellen Sie sich zum Beispiel die Computer A ( 192.168.1.1
), B ( 192.168.1.2
) und C ( 192.168.1.3
) vor. Sei A der Server mit der folgenden Exportdatei:
/home 192.168.1.2(rw)
Wie Sie sehen können, erteilt A B die Erlaubnis, die Freigabe / home zu verwenden. Lassen Sie nun C ssh in B mit:
$ ssh 192.168.1.2 -L 250:192.168.1.1:2049 -f sleep 60m
$ ssh 192.168.1.2 -L 251:192.168.1.1:32767 -f sleep 60m
Es scheint, dass die nach B exportierten Anteile von A für jeden anfällig sind, der in B ssh kann. Ist dies der Fall? Gibt es eine andere Möglichkeit, sich dagegen zu schützen, als nur sicherzustellen, dass jeder, der sich bei B anmelden kann, ein sehr vertrauenswürdiger Benutzer ist?
quelle