Ich habe widersprüchliche Aussagen darüber gelesen, ob über NFSv4 mit sec=krb5 exportierte Freigaben kryptografisch davor geschützt sind, dass ein böswilliger Client die Freigabe mountet und dann den Benutzer fälscht, um Zugriff auf nicht autorisierte Dateien zu erhalten.
Zum Beispiel,Hierwir haben eine solche Aussage:
[Im Kontext von Kerberos-authentifiziertem NFS] ... verlässt sich NFSv4 weiterhin darauf, dass der Client ehrlich meldet, welcher Benutzer auf die Dateien zugreift (jetzt wird die alphabetische Login-ID anstelle der numerischen UID verwendet).
UndHierwir haben eine widersprüchliche Aussage:
Mit dem Kerberos-Mechanismus RPCSEC_GSS ist der Server nicht mehr auf den Client angewiesen, um korrekt darzustellen, welcher Benutzer auf die Datei zugreift, wie dies bei AUTH_SYS der Fall ist. Stattdessen wird Kryptografie verwendet, um Benutzer gegenüber dem Server zu authentifizieren. Dadurch wird verhindert, dass ein böswilliger Client die Identität eines Benutzers annimmt, ohne über die Kerberos-Anmeldeinformationen dieses Benutzers zu verfügen.
Wie ist der aktuelle Stand beim NFSv4-Dateizugriff?
Antwort1
Die Autorisierung von sec=sys beruht vollständig darauf, dass die UID-Nummer eines Benutzers auf dem Client mit der der Datei auf dem Server übereinstimmt. Für jemanden mit Root-Zugriff ist es trivial, sich als ein anderer Benutzer auszugeben.
sec=krb5 erfordert, dass sich der Benutzer beim KDC authentifiziert (nicht nur beim Client), was es für einen lokalen Administrator schwieriger macht, sich als Benutzer auszugeben. JEDOCH ist es nicht absolut sicher und ein im Kerberos-Bereich registrierter Client-Computer gilt als „vertrauenswürdig“. Angenommen, eine NFSv4-Freigabe wird von einem authentifizierten Benutzer korrekt gemountet – dann hat der Root des Clients über „su“ Zugriff auf die Freigabe (und möglicherweise auf ihr tgt, das jetzt auf dem Client zwischengespeichert ist).
Ich lasse mich gern korrigieren (und würde gerne von jemandem hören, der sich mit krb NFS besser auskennt) – dies ist meine Beobachtung aus begrenzten Tests.