AWS 文件网关 - 确保真实 UID/GID
AWS File Gateway - Ensure Authentic UID/GID
AWS 文件网关似乎允许对网关中的共享和文件设置 UID/GID NFS 权限。这很好,但是由于网关本身没有存储本地用户群,似乎一旦通过身份验证(这似乎违背了客户端的用户存储,而不是某些文件网关用户存储),UID 和 GID 值似乎由客户端而不是服务器填充。据我所知,这会使任何类型的安全措施失效。任何知道共享的 UID 或 GID 的人都可以相应地设置本地计算机的 UID/GID 并使用他们想要的任何密码访问该共享。
我哪里误会了?
What am I misunderstanding here?
只是这一直是 NFS 的局限性:客户端机器是可信的。
NFS 中有一个内置假设,即对客户端计算机具有特权访问权限的用户是受信任的用户,因此没有用户会拥有冲突或未经授权的帐户 UID/GID。
在情况并非如此的环境中,您的观察是正确的...如果客户端机器不可信,则基本 NFS 安全模型不会提供有意义的安全性。
AWS 文件网关似乎允许对网关中的共享和文件设置 UID/GID NFS 权限。这很好,但是由于网关本身没有存储本地用户群,似乎一旦通过身份验证(这似乎违背了客户端的用户存储,而不是某些文件网关用户存储),UID 和 GID 值似乎由客户端而不是服务器填充。据我所知,这会使任何类型的安全措施失效。任何知道共享的 UID 或 GID 的人都可以相应地设置本地计算机的 UID/GID 并使用他们想要的任何密码访问该共享。
我哪里误会了?
What am I misunderstanding here?
只是这一直是 NFS 的局限性:客户端机器是可信的。
NFS 中有一个内置假设,即对客户端计算机具有特权访问权限的用户是受信任的用户,因此没有用户会拥有冲突或未经授权的帐户 UID/GID。
在情况并非如此的环境中,您的观察是正确的...如果客户端机器不可信,则基本 NFS 安全模型不会提供有意义的安全性。