중앙 집중식 인증을 사용하고 홈 디렉터리의 개인 정보를 유지하면서 모든 Linux 시스템에서 사용자의 홈 디렉터리에 액세스할 수 있는 옵션이 무엇인지 알고 싶습니다.
이제 머신 중 하나에 대한 루트 액세스 권한이 있는 사람은 누구나 모든 사용자의 홈 디렉터리에 대한 읽기 액세스 권한을 얻을 수 있는 NIS 및 NFS 공유 설정에 직면했습니다.
이런 일이 발생하는 것을 방지할 수 있는 설정은 무엇입니까? 우리는 하이브리드 환경에서 실행 중이므로 AD와 관련된 제안에도 열려 있습니다.
필요하다
- 사용자는 특정 컴퓨터에 대한 루트 액세스 권한을 가질 수 있어야 합니다.
- 사용자는 다른 홈 디렉토리에 대한 읽기 액세스 권한을 얻을 수 없어야 합니다.
답변1
NFS는 공유를 내보내는 옵션을 허용합니다 root_squash. 이는 root사용자에게 매핑됩니다 nobody. 이렇게 하면 사용자가 로컬 컴퓨터에서 루트가 되지만 루트로 공유에 있는 파일에 액세스할 수는 없습니다.
그러나 로컬 시스템의 루트 사용자인 경우 누구든지 가장할 수 있습니다(선택한 UID로 새 사용자 생성, 로컬 비밀번호 변경 등). 누군가를 쫓아낼 방법은 없습니다.
답변2
umask, 파일/폴더 권한 사용을 강화하고 sudo(사용자별 로컬 권한 상승)를 사용하거나 NIS, KRB5 및 LDAP를 지원하는 PAM 모듈 조합인 AD를 사용하려는 경우