リモートでマウントされたファイルシステムで使用されるローカルACLを定義したいと思います。ファイルシステムはautofsとsshfs FUSEを介してマウントされます。
考えは、環境内の他のサーバー上のファイルを読み取るためのアクセス権を持つジャンプサーバーに投獄されたユーザーを設定し、多くの公開なしに、そして確かにsshアクセス権を付与せずに標準コマンドを使用できるということです。
問題は、sshfsは常に同じユーザーとして実行されるため、リモートシステムのパス内のファイルは、公開されたユーザーに関係なく公開されることです。
私はセキュリティチェックをsshfsに直接コーディングすることを検討しましたが、その道を進む前に、他のパッケージがACLサポートを他の方法で読み取り専用のファイルシステムに追加できるかどうかを確認したいと思います。
編集:@peterphリモートファイルシステムが読み取り専用の場合、NFS共有のACLをどのように設定しますか?
sshfsは分解が本当に簡単だったので、これを書いてから数日後にACLチェックをsshfs自体に追加しました。ユーザーは、OpenSSHおよびjailkitを介してログインすると投獄され、そこから非特権ユーザーとして読み取り専用のsshfs automountにアクセスします。すべてのdir / file statまたはreadは、syslogイベントを生成します。それは魅力のように機能していて、ユーザーは1つの刑務所に入れられた箱からの権利を持ちません。
4
bindfsはACLをサポートしていません。rofsはメンテナンスされておらず、とにかくあなたが欲しいものをサポートしているとは思いません。私はもっと簡単な方法を考えます。各ユーザーにsshfsファイルシステムを自分でマウントさせ、各ユーザーにサーバー上の個別のSFTP専用アカウントを与えます。Rube Goldbergの仕掛けよりも簡単なセットアップを安全に保つ方が簡単です。
—
Gilles 'SO-悪をやめる' 2012