我讀過關於透過 sec=krb5 的 NFSv4 匯出的共用是否受到加密保護以防止惡意客戶端掛載共用然後欺騙使用者以存取未經授權的檔案的相互矛盾的聲明。
例如,這裡我們有這樣一個聲明:
[在 Kerberos 驗證的 NFS 環境中] ... NFSv4 仍然依賴客戶端誠實地報告哪個使用者正在存取檔案(現在使用字母登入 ID 而不是數字 UID)。
和這裡我們有一個矛盾的說法:
使用 RPCSEC_GSS Kerberos 機制,伺服器不再依賴客戶端來正確表示哪個使用者正在存取文件,就像 AUTH_SYS 的情況一樣。相反,它使用加密技術對伺服器的用戶進行身份驗證,從而防止惡意用戶端在沒有用戶 kerberos 憑證的情況下冒充用戶。
NFSv4 檔案存取的實際情況如何?
答案1
sec=sys 授權完全依賴用戶端上使用者的 uid 號碼與伺服器上檔案的 uid 號相符。對於具有 root 存取權限的人來說,偽裝成另一個使用者是微不足道的。
sec=krb5 要求使用者向 kdc(而不僅僅是客戶端)進行身份驗證,這使得本機管理員更難冒充使用者。然而,它並不是萬無一失的,並且在 kerberos 領域中註冊的客戶端電腦被認為是「可信任的」。假設 NFSv4 共用由經過驗證的使用者正確安裝 - 客戶端的 root 可以透過「su」(可能還有他們的 tgt,現在快取在客戶端上)存取該共用。
我很高興得到糾正(並希望聽到對 krb NFS 有更好了解的人的意見)——這是我在有限測試中的觀察結果。