Impede que o root no linux altere as permissões de pasta no sistema de arquivos GPFS

1

Eu criei uma exportação NFS em um sistema de arquivos GPFS / SpectrumScale que criei. Eu habilitei a autenticação baseada em AD com nosso domínio. Tudo funciona. A exportação do NFS foi criada com o NFS4.

A exportação do NFS é montada em algumas VMs do Linux. O problema é que quando um usuário executa o sudo, ele pode acessar todas as pastas e alterar permissões em arquivos / pastas, independentemente do que a ACL permite.

Existe uma maneira de impedir que o root substitua a ACL?

No GPFS, defino a exportação do NFS com ROOT_SQUASH pensando que isso seria feito, mas ainda posso alterar as permissões quando sudo com uma conta de teste que não tenha direitos de administrador de domínio.

    
por mrbarker 04.02.2016 / 19:00

2 respostas

0

Parece que ROOT_SQUASH ainda não se propagou. Eu executei o seguinte comando um pouco mais tarde e vi ROOT_SQUASH nos resultados:

mmnfs export list --nfsdefs /comp/zixf401/NFS

Eu fiz o logoff da VM do Linux em que eu estava testando a montagem do NFS e entrei novamente. Depois de executar o comando sudo su e, em seguida, tentar chmod 770 de uma das pastas na montagem NFS, recebi uma não mensagem permitida como eu esperava.

    
por 05.02.2016 / 00:10
0
Bem, tecnicamente, se você não forçar uma segurança mais strong, o NFS, por padrão, usará auth_sys, onde o cliente simplesmente informará ao servidor NFS qual UID e GID usar, IOW sem segurança. A melhor maneira de resolver esse problema é exportar com sec = krb5 e impor RPCSEC_GSS. Você já possui o AD, que é o servidor kerberos com o LDAP. Verifique este link para ver como configurar o cliente e os servidores

    
por 04.02.2016 / 20:56