LinuxのrootがGPFSファイルシステムのフォルダー許可を変更しないようにする
作成したGPFS/SpectrumScaleファイルシステムでNFSエクスポートを作成しました。ドメインでADベースの認証を有効にしました。すべてが機能します。 NFSエクスポートはNFS4で作成されました。
NFSエクスポートは、一部のLinuxVMにマウントされています。問題は、ユーザーがSudoを実行すると、ACLで許可されている内容に関係なく、すべてのフォルダーにアクセスし、ファイル/フォルダーのアクセス許可を変更できることです。
ルートがACLをオーバーライドするのを防ぐ方法はありますか?
GPFSでは、NFSエクスポートをROOT_SQUASHで設定しましたが、ドメイン管理者権限を持たないテストアカウントでSudoを実行すると、アクセス許可を変更できます。
ROOT_SQUASHはまだ伝播されていないようです。少し後で次のコマンドを実行したところ、結果にROOT_SQUASHが表示されました。
mmnfs export list --nfsdefs /comp/zixf401/NFS
次に、LinuxからログアウトしましたVM NFSマウントをテストして、再度ログインしました。Sudo suコマンドを実行し、chmod 770のいずれかを試行した後NFSマウント内のフォルダーで、期待どおりに許可されていないメッセージを受け取りました。
技術的には、より強力なセキュリティを適用しない場合、NFSはデフォルトでauth_sysを使用します。ここで、クライアントは使用するUIDとGIDをNFSサーバーに指示するだけで、IOWはセキュリティを使用しません。この問題を解決する最善の方法は、sec = krb5でエクスポートし、RPCSEC_GSSを適用することです。 LDAPを備えたKerberosサーバーであるADがすでにあります。クライアントとサーバーの構成方法については、 このリンク を確認してください