Unix NFS安全困境:all_squash挂载或用户身份验证的替代方案?

时间:2012-04-29 19:08:52

标签: nfs

使用NFS,当在客户端计算机上安装文件系统时,客户端上的用户名用于验证访问权限(即,假定本地客户端上的用户A是文件系统上的用户A)。

问题:客户端上的任何本地root都可以像任何人一样访问文件系统中的任何人的文件。

如果文件系统对所有人来说都是只读的,那么导出系统以便用all_squash进行安装将解决问题。

但是,如果我希望系统是可读写的,并且我不想仅将系统导出到特定的客户端计算机呢?

是否有其他方法或替代方案可以解决此问题?也许使用不同的文件系统或身份验证方法?基本上我希望用户在授予访问权限之前被真正认证为文件系统的实际用户(即,不仅仅基于客户端计算机上的用户名)。

2 个答案:

答案 0 :(得分:0)

为什么不将/ etc / exports文件配置为仅允许来自每个客户端的特定用户名?例如:

/home/user1 -mapall=user1 user1.host.machine

您可以添加Kerberos来停止IP欺骗。

答案 1 :(得分:0)

你可以使用sshfs而不是nfs - 这应该可以解决用户欺骗用户的问题。