Я читал противоречивые утверждения о том, защищены ли криптографически общие ресурсы, экспортированные через NFSv4 с sec=krb5, от вредоносного клиента, монтирующего общий ресурс и затем подменяющего пользователя, чтобы получить доступ к несанкционированным файлам.
Например,здесьу нас есть одно такое утверждение:
[В контексте NFS с аутентификацией Kerberos] ... NFSv4 по-прежнему полагается на то, что клиент честно сообщает, какой пользователь получает доступ к файлам (теперь с использованием буквенного идентификатора входа вместо числового UID).
Издесьимеем противоречивое утверждение:
С механизмом RPCSEC_GSS Kerberos сервер больше не зависит от клиента, чтобы правильно определить, какой пользователь получает доступ к файлу, как в случае с AUTH_SYS. Вместо этого он использует криптографию для аутентификации пользователей на сервере, не позволяя вредоносному клиенту выдавать себя за пользователя, не имея учетных данных Kerberos этого пользователя.
Каково фактическое положение дел с доступом к файлам NFSv4?
решение1
Авторизация sec=sys полностью зависит от uidnumber пользователя на клиенте, совпадающего с uidnumber файла на сервере. Для кого-то с правами root легко выдать себя за другого пользователя.
sec=krb5 требует, чтобы пользователь аутентифицировался в kdc (а не только в клиенте), что затрудняет для локального администратора выдачу себя за пользователя. ОДНАКО, это не является пуленепробиваемым, и клиентская машина, зарегистрированная в области kerberos, считается "доверенной". Допустим, общий ресурс NFSv4 правильно смонтирован аутентифицированным пользователем - тогда root клиента получает доступ к общему ресурсу через "su" (и, возможно, его tgt, который теперь кэшируется на клиенте).
Я буду рад, если меня поправят (и хотел бы услышать мнение кого-то, кто лучше разбирается в krb NFS) — это мои наблюдения, полученные в результате ограниченного тестирования.