Me gustaría definir las ACL locales que se utilizarán en un sistema de archivos montado de forma remota. El sistema de archivos se monta a través de autofs y sshfs FUSE.
La idea es que podríamos configurar un usuario encarcelado en un servidor de salto con acceso para leer archivos en otros servidores en el entorno y usar comandos estándar sin mucha exposición y ciertamente sin otorgar acceso ssh.
El problema es que sshfs siempre se ejecutará como el mismo usuario, por lo que los archivos dentro de la ruta en el sistema remoto estarían expuestos independientemente del usuario para el que estuvieron expuestos.
He explorado la codificación de la verificación de seguridad directamente en sshfs, pero antes de seguir ese camino me gustaría ver si algún otro paquete puede agregar soporte de ACL a un sistema de archivos de solo lectura.
Editar: @peterph ¿Cómo establecería sus ACL para el recurso compartido NFS cuando el sistema de archivos remoto es de solo lectura?
sshfs fue realmente fácil de desmontar, así que agregué el cheque ACL directamente en sshfs unos días después de escribir esto. Los usuarios son encarcelados al iniciar sesión a través de OpenSSH y jailkit, y desde allí acceden al montaje automático sshfs de solo lectura como un usuario no privilegiado. Cada estadística dir / archivo o lectura genera un evento syslog. Ha estado funcionando a las mil maravillas y los usuarios no tienen derechos sobre la única caja encarcelada.
Respuestas:
¿Hay alguna razón para no usar NFS con soporte ACL? Puede hacer un túnel a través de SSH / VPN, o usar NFSv4 que admite el cifrado por sí solo.
fuente