AWS File Gateway似乎允许在网关中的共享和文件上设置UID / GID NFS权限。这很好,但由于网关本身没有存储本地用户群,看起来好像是经过身份验证(这似乎违背了客户端的用户存储,而不是某些文件网关用户存储),UID和GID值似乎由客户端填充,而不是服务器。就我所知,这会使任何类型的安全无效。知道共享的UID或GID的任何人都可以相应地设置本地计算机的UID / GID,并使用他们想要的任何密码访问该共享。
我在这里误解了什么?
答案 0 :(得分:1)
我在这里误解了什么?
只有这一直是NFS的限制:客户端机器是可信的。
NFS中内置的假设是,对客户端计算机具有特权访问权限的用户是受信任的用户,因此任何用户都不会拥有冲突或未经授权的UID / GID帐户。
在不是这种情况的环境中,您的观察是正确的......如果客户端计算机无法信任,则基本的NFS安全模型不会提供有意义的安全性。