NFSの場合、ファイルシステムがクライアントマシンにマウントされると、クライアントのユーザー名がアクセスの認証に使用されます(つまり、ローカルクライアントのユーザーAはファイルシステムのユーザーAとみなされます)。Unix NFSセキュリティジレンマ:all_squashマウントまたはユーザ認証の代替手段はありますか?
問題:クライアント上のローカルルートは誰でもsuとして、ファイルシステム上の誰かのファイルにアクセスできます。
ファイルシステムがすべてのユーザに対して読み取り専用になっている場合は、all_squashでマウントするためにシステムをエクスポートすると問題が解決されます。
しかし、システムを読み書き可能にしたいのですが、システムを特定のクライアントマシンにのみエクスポートしたいのですが?
この問題を解決する他の方法や代替方法はありますか?おそらく異なるファイルシステムや認証方法を使用していますか?基本的には、アクセスが許可される前に(つまり、クライアントマシンのユーザー名だけではなく)ファイルシステムの実際のユーザーとしてユーザーを真に認証する必要があります。
認証のために[NFS use Kerberos](http://wiki.debian.org/NFS/Kerberos)のチケットを作成できます。 – Flexo
まあ、Kerberosは依然としてrootユーザーとして信頼できるホストに基づいており、他のユーザーのTGTを盗んで自分のものとして使用することができます。信頼できるホストに基づくNFSとKerberos保護それにもかかわらず、ケルベロスはあなたをミッド・イン・イン攻撃から守ります。 – kofemann