Назад | Перейти на главную страницу

Обеспечивает ли «Kerberized» NFSv4 надежную защиту от злонамеренного клиента, подменяющего пользователя

Я читал противоречивые утверждения о том, являются ли общие ресурсы, экспортированные через NFSv4 с sec = krb5, криптографически защищенными от злонамеренного клиента, устанавливающего общий ресурс, а затем спуфинга пользователя для получения доступа к неавторизованным файлам.

Например, Вот у нас есть одно такое утверждение:

[В контексте NFS с аутентификацией Kerberos] ... NFSv4 по-прежнему полагается на то, что клиент честно сообщает, какой пользователь обращается к файлам (теперь с использованием буквенного идентификатора входа, а не числового идентификатора UID).

И Вот у нас есть противоречивое утверждение:

С механизмом RPCSEC_GSS Kerberos сервер больше не зависит от клиента, чтобы правильно представлять, какой пользователь обращается к файлу, как в случае с AUTH_SYS. Вместо этого он использует криптографию для аутентификации пользователей на сервере, не позволяя злонамеренному клиенту выдавать себя за пользователя без учетных данных Kerberos этого пользователя.

Как на самом деле обстоят дела с доступом к файлам NFSv4?

sec = sys авторизация полностью зависит от uidnumber пользователя на клиенте, совпадающего с номером файла на сервере. Для кого-то с root-доступом легко замаскироваться под другого пользователя.

sec = krb5 требует, чтобы пользователь аутентифицировался в kdc (а не только в клиенте), что усложняет локальному администратору выдавать себя за пользователя. ОДНАКО, он не является пуленепробиваемым, и клиентский компьютер, зарегистрированный в области Kerberos, считается «доверенным». Скажем, общий ресурс NFSv4 правильно смонтирован аутентифицированным пользователем - тогда корень клиента имеет доступ к общему ресурсу через «su» (и, возможно, их tgt, который теперь кэшируется на клиенте).

Я рад, что меня поправили (и хотел бы услышать от кого-то, кто лучше разбирается в krb NFS) - это мои наблюдения из ограниченного тестирования.