Eu estou querendo saber quais opções são para usar autenticação centralizada e acesso a diretórios home de usuários de qualquer máquina Linux, mantendo a privacidade dos diretórios home.
Agora estou enfrentando uma configuração do NIS com compartilhamentos NFS, em que qualquer pessoa que tenha acesso root a uma das máquinas pode obter acesso de leitura aos diretórios iniciais de todos os usuários.
Qual configuração impediria que isso acontecesse? Também estou aberto a sugestões que envolvam o AD porque estamos em um ambiente misto.
Requisitos
O NFS permite exportar compartilhamentos com a opção root_squash . Isso mapeia root para o usuário nobody . Isso permite que seus usuários sejam root na máquina local, mas não acessem arquivos nos compartilhamentos como root.
No entanto, se você estiver root em uma máquina local, poderá se passar por outra pessoa (criar um novo usuário com um UID de sua escolha, alterar senhas locais, etc.). Não há como manter alguém assim.
Aprimore o uso de umask, permissões de arquivo / pasta, possível uso de sudo (privilégios elevados locais por usuário) ou se você quiser usar o AD, uma combinação de módulos PAM que suportam NIS, KRB5 e LDAP