¿Cómo evitar que cualquier ACL se monte en NFS?

tag-icon tag-icon debian access-control-list nfs
¿Cómo evitar que cualquier ACL se monte en NFS?

Estoy intentando exportar/montar un volumen NFS sin ninguna ACL (POSIX o NFS), pero no lo logro.

Contexto técnico: último Debian actual en ambos lados, volumen ext4.

Objetivo: Impongo un acceso estricto mediante ACL POSIX en el servidor, y los usuarios pueden (accederán) al volumen en otra máquina, con NFS. Pero cualquier usuario que posea un directorio/archivo puede cambiar las ACL, lo cual no es bueno aquí. Por eso quiero evitar que los usuarios cambien las ACL y simplemente eliminar los comandos get/setfacl no es una buena manera. Quitar la compatibilidad con ACL en el volumen del lado del servidor no es bueno...

Entonces mi pregunta:¿Es posible evitar las ACL de un montaje NFS sin eliminar las ACL en el volumen del lado del servidor? En caso afirmativo, ¿cómo se puede realizar?

Probé usando no_acl/noacl sin éxito: mis exportaciones se realizan en la versión NFSv3, con la opción "no_acl". En /etc/exportaciones:

/exports ip-of-client-during-tests(rw,sync,no_acl,no_subtree_check,fsid=0)
/exports/data ip-of-client-during-tests(rw,sync,no_acl,no_subtree_check)

Todos los servicios recargados/reiniciados. Luego lo monto en el cliente con la opción "noacl" (lo que sea):

mount -t nfs -o noacl,vers=3 my-server:/exports/data/ /var/data/

que da en /proc/mounts:

server-name:/exports/data/ /var/data nfs rw,relatime,vers=3,rsize=524288,wsize=524288,namlen=255,hard,noacl,proto=tcp,timeo=600,retrans=2,sec=sys,mountaddr=server-ip,mountvers=3,mountport=53844,mountproto=udp,local_lock=none,addr=server-ip 0 0

Y en el cliente puedo obtener/configurar ACL usando get/setfacl en el directorio/archivos que poseo, y los cambios son visibles en el sistema de archivos del servidor. También intenté usar NFSv4, sin cambios. Por cierto, en el servidor no veo la opción "no_acl" en /proc/fs/nfs/exports:

/exports/data   client-ip(rw,root_squash,sync,wdelay,no_subtree_check,uuid=0bac8439:e7e2488e:817358d2:f2c94b85,sec=1)

incluso si es visible con exportfs -v:

/exports/data   client-ip(rw,wdelay,root_squash,no_subtree_check,no_acl,sec=sys,rw,root_squash,no_all_squash)

Respuesta1

Puede desactivar el soporte del lado del servidor compilando el kernel sin la CONFIG_NFSD_V3_ACLopción.

información relacionada