ServerA moet 'n gids van ServerB op 'n plek hê, met skryftoestemmings.

Ek het SSHFS hiervoor gebruik. Ek vind SSHFS baie stabiel (100% betroubaar), terwyl NFS nie so stabiel was nie, behalwe dat dit baie moeilik was om te konfigureer, en by verstek blootstel aan publiek, ens.

Met SSHFS moes ek 'n plaaslike gebruiker op ServerB skep en sy private sleutel op ServerA plaas om die monterings op te stel.

As iemand egter ooit by ServerA inbreek, sal die hacker toegang tot enige gids/lêer kan kry wat 'ander' leestoestemmings op enige plek op ServerB kan hê, deur by ServerB aan te meld met daardie gebruiker en sy private sleutel.

Is daar enige manier om dit te voorkom, sodat die ENIGSTE gids waartoe hierdie gebruiker toegang het die gids is wat op ServerA gemonteer moet word?

answer

Stel ssh-bediener op om die gebruiker en hul lêers in 'n beperkende chroot te plaas. As u OpenSSH gebruik, waarskynlik met aanwysings ChrootDirectory enForceCommand internal-sftp

NFS vereis die definisie van uitgevoerde volumes, en is nie 'n afgeleë dop nie. In daardie opsigte pas dit goed by u lêerdeel-scenario. Alhoewel NFS geënkripteer kan word, is dit gewoonlik nie, dus is dit om veiligheidsredes oor die algemeen beperk tot 'n privaat netwerk.

Albei sal lei tot 'n slegte werkverrigting-ervaring as die netwerk val of die afstandsbediening onverwags weggaan.