Sistema de arquivos em rede com segurança no nível do usuário para linux

Quero habilitar o compartilhamento de arquivos entre servidores e clientes, ambos linux. Não quero confiar na confiança da máquina, como no NFSv4, porque os usuários clientes terão privilégios de root. Quais são minhas opções além do SMB (SAMBA)? O OpenAFS suporta autenticação e acesso no nível do usuário? O uso de WebDAV / ftp / sshfs montado parece bobagem para a LAN.

Não sei se entendi completamente:

"Não quero confiar na confiança da máquina, como no NFSv4, porque os usuários clientes terão privilégios de root".

Se você quer dizer que os usuários do cliente terão privilégios de root no cliente e você não deseja que eles tenham root no host, simplesmente não usa a opção "no_root_squash". Você também pode fazer coisas como desativar o setuid para ajudar a reduzir o risco para o cliente a partir do servidor.

Você também tem a opção de usar o kerberos com o NFSv4, consulte este link .

Portanto, em outras palavras, o NFSv4 pode fornecer a segurança de que você precisa enquanto é um pouco mais ... (escalável?) .. o uso de sshfs em todos os lugares. Ainda pode não ser o que você quer, mas eu não desistiria disso tão cedo.

Com o Kerberos, apenas o servidor kdc concede tokens de autenticação. Uma máquina cliente, por si só, pode se autenticar como um host (e isso se você der o keytab a um nfs / client-hostname @ REALM principal correspondente) e isso só lhe dá o direito de conversar com o servidor nfs. São os usuários que podem se autenticar, e o servidor nfs apenas os autoriza a acessar seus próprios arquivos. Com sec = krb5p, o servidor também evita bisbilhoteiros e alterações.

Ser root não dará aos usuários privilégios inadequados. A única maneira de obter acesso a mais arquivos é invadir as máquinas uns dos outros, invadir o servidor nfs ou o kdc. O NFSv4 com Kerberos se ajusta bem aos seus requisitos de segurança.

Aqui está mais sobre o modelo de segurança:

• Projetando um sistema de autenticação: um diálogo em quatro cenas

Se você está procurando uma implantação, aqui estão alguns tutoriais centrados no debian / ubuntu. Eu escolhi configurações simples sem LDAP. Essas distribuições têm uma configuração baseada em debconf que leva você até lá.

• Configurando o Kerberos (observe os requisitos do fqdn).
• Configurando o NFSv4

Minhas adições: você não precisa especificar um tipo de código des-cbc-crc, mas precisa permitir_weak_crypto no krb5.conf para que o protocolo de comunicação possa usar des-cbc-crc para criptografia de fluxo. Isso se tornará desnecessário no 2.6.35 kernels.

Se você está procurando algo parecido com um aparelho, existe o FreeIPA .

sshfs é o caminho a percorrer. No cliente:

sshfs -o idmap=user,workaround=rename user@server:/home/user/share /home/user/share

Permissões iguais ao ssh ... porque você está usando o ssh! O legal é que você não precisa tocar em nada no servidor, assumindo que o sshd esteja instalado e funcionando corretamente. Pode não ter o desempenho como as outras sugestões, mas é muito simples.

o samba realmente soa como a sua melhor aposta. O samba possui extensões unix, portanto, quando montado usando CIFs no Linux, ele deve mostrar permissões unix apropriadas e outros enfeites. Eu acho que essa será a melhor opção para suas restrições. se isso não der certo, o sshfs pode ser usado rapidamente, mas não terá um bom desempenho ou integração no sistema operacional como o samba.

O OpenAFS suporta autenticação e acesso no nível do usuário?

Sim, parece que o OpenAFS atenderia aos seus requisitos aqui, mas o NFSv4 Kerberizado também. Nos dois ambientes, você não precisa "confiar" nos clientes; o controle de acesso é imposto pelos servidores. As versões anteriores do NFS exigiam que você "confiasse" efetivamente os clientes, mas o NFSv4 Kerberizado não. O OpenAFS nunca exigiu clientes "confiáveis" e também conta com o Kerberos para autenticação e segurança.