我在创build的GPFS / SpectrumScale文件系统中创build了一个NFS导出。 我已经启用了基于AD的身份validation我们的域名。 一切正常。 NFS导出是使用NFS4创build的。
NFS导出安装在一些linux虚拟机上。 问题是,当用户运行sudo时,无论ACL允许什么,他们都可以访问所有文件夹并更改文件/文件夹的权限。
有没有办法防止root覆盖ACL?
在GPFS中,我使用ROOT_SQUASH设置了NFS导出,认为这样做,但是当我使用没有域pipe理员权限的testing帐户进行sudo时,我仍然可以更改权限。
那么,从技术上讲,如果你不强制执行更强的安全性,那么默认情况下,NFS将使用auth_sys,其中客户端只是告诉NFS服务器使用哪个UID和GID,IOW不安全。 解决此问题的最佳方法是使用sec = krb5导出并执行RPCSEC_GSS。 你已经有AD,这是带有LDAP的kerberos服务器。 检查此链接以了解如何configuration客户端和服务器
看来ROOT_SQUASH还没有传播出去。 我稍后运行以下命令,并在结果中看到ROOT_SQUASH :
mmnfs export list --nfsdefs /comp/zixf401/NFS
然后,我退出Linux VM,正在testingNFS装载并重新login。运行sudo su命令并尝试chmod 770其中一个NFS装入的文件夹之后,我收到了一条不允许的消息希望。