Ich möchte lokale ACLs definieren, die über ein remote bereitgestelltes Dateisystem verwendet werden sollen. Das Dateisystem wird über autofs und sshfs FUSE gemountet.
Die Idee ist, dass wir einen inhaftierten Benutzer auf einem Jump-Server mit Zugriff auf Lesedateien auf anderen Servern in der Umgebung einrichten und Standardbefehle verwenden können, ohne viel Aufwand zu betreiben und ohne ssh-Zugriff zu gewähren.
Das Problem ist, dass sshfs immer als derselbe Benutzer ausgeführt wird, sodass Dateien im Pfad auf dem Remote-System unabhängig vom Benutzer, für den sie verfügbar gemacht wurden, verfügbar gemacht werden.
Ich habe untersucht, wie die Sicherheitsüberprüfung direkt in sshfs codiert wird, aber bevor ich diesen Weg gehe, möchte ich sehen, ob ein anderes Paket einem ansonsten schreibgeschützten Dateisystem ACL-Unterstützung hinzufügen kann.
Bearbeiten: @peterph Wie würden Sie Ihre ACLs für die NFS-Freigabe festlegen, wenn das Remote-Dateisystem schreibgeschützt ist?
sshfs war wirklich einfach zu zerlegen, daher habe ich den ACL-Check einige Tage nach dem Schreiben direkt in sshfs selbst eingefügt. Benutzer werden bei der Anmeldung über OpenSSH und Jailkit inhaftiert und greifen von dort aus als nicht privilegierter Benutzer auf das schreibgeschützte sshfs automount zu. Jeder Verzeichnis- / Dateistatus oder Lesevorgang generiert ein Syslog-Ereignis. Es hat wie ein Zauber funktioniert und die Benutzer haben keine Rechte an der einen eingesperrten Box.
Antworten:
Gibt es einen Grund, NFS mit ACL-Unterstützung nicht zu verwenden? Sie können es entweder über SSH / VPN tunneln oder NFSv4 verwenden, das die Verschlüsselung selbst unterstützt.
quelle