Utilisation d'ACL sur un système de fichiers en lecture seule / distant


9

Je voudrais définir des ACL locales à utiliser sur un système de fichiers monté à distance. Le système de fichiers est monté via autofs et sshfs FUSE.

L'idée est que nous pourrions mettre en place un utilisateur emprisonné sur un serveur de saut avec un accès pour lire des fichiers sur d'autres serveurs de l'environnement et utiliser des commandes standard sans beaucoup d'exposition et certainement sans accorder l'accès ssh.
Le problème est que sshfs s'exécutera toujours avec le même utilisateur, donc les fichiers du chemin d'accès sur le système distant seront exposés quel que soit l'utilisateur pour lequel ils ont été exposés.

J'ai exploré le codage du contrôle de sécurité directement dans sshfs, mais avant de poursuivre dans cette voie, j'aimerais voir si un autre package peut ajouter la prise en charge ACL à un système de fichiers autrement en lecture seule.

Edit: @peterph Comment définiriez-vous vos ACL pour le partage NFS lorsque le système de fichiers distant est en lecture seule?

sshfs était vraiment facile à démonter, j'ai donc ajouté le contrôle ACL directement dans sshfs lui-même quelques jours après avoir écrit ceci. Les utilisateurs sont emprisonnés à la connexion via OpenSSH et jailkit, et accèdent à partir de là à l'automontage sshfs en lecture seule en tant qu'utilisateur non privilégié. Chaque statistique ou lecture de dir / fichier génère un événement syslog. Cela a fonctionné comme un charme et les utilisateurs n'ont aucun droit sur la boîte emprisonnée.


4
bindfs ne prend pas en charge les ACL. rofs n'est pas entretenu et je ne pense pas qu'il supporte ce que vous voulez de toute façon. J'opterais pour une approche plus simple: laisser chaque utilisateur monter un système de fichiers sshfs pour lui-même et attribuer à chaque utilisateur un compte SFTP uniquement sur le serveur. Il est plus facile de sécuriser des configurations simples que les engins Rube Goldberg.
Gilles 'SO- arrête d'être méchant'

Réponses:


1

Y a-t-il une raison pour ne pas utiliser NFS avec le support ACL? Vous pouvez soit le tunneler via SSH / VPN, soit utiliser NFSv4 qui prend en charge le cryptage seul.

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.