লিনাক্সের জন্য ব্যবহারকারী স্তরের সুরক্ষার সাথে নেটওয়ার্কযুক্ত ফাইল সিস্টেম

আমি সার্ভার এবং ক্লায়েন্ট উভয় লিনাক্সের মধ্যে ফাইল ভাগ করতে সক্ষম করতে চাই। আমি এনএফএসভি 4 এর মতো মেশিনের ভরসার উপর নির্ভর করতে চাই না কারণ ক্লায়েন্ট ব্যবহারকারীদের রুট সুবিধাগুলি থাকবে। এসএমবি (স্যাম্বা) ছাড়াও আমার বিকল্পগুলি কী কী? ওপেনএফএস কি ব্যবহারকারীর স্তরের প্রমাণীকরণ এবং অ্যাক্সেস সমর্থন করে? মাউন্ট করা ওয়েবডিএভি / এফটিপি / এসএসএফএস ব্যবহার করা ল্যানটির জন্য নির্বোধ বলে মনে হয়।

আমি নিশ্চিত যে আমি পুরোপুরি বুঝতে পেরেছি না:

"আমি এনএফএসভি 4 এর মতো মেশিনের ভরসার উপর নির্ভর করতে চাই না কারণ ক্লায়েন্ট ব্যবহারকারীদের মূল সুযোগ থাকবে।"

আপনি যদি বোঝাতে চান যে ক্লায়েন্ট ব্যবহারকারীদের ক্লায়েন্টের কাছে মূল সুবিধাগুলি থাকবে এবং আপনি তাদের হোস্টে রুট রাখতে চান না তবে আপনি কেবল "no_root_squash" বিকল্পটি ব্যবহার করবেন না। আপনি সার্ভার থেকে ক্লায়েন্টের জন্য ঝুঁকি হ্রাস করতে সহায়তা করার জন্য সেটুইড অক্ষম করার মতো কাজও করতে পারেন।

আপনার কাছে এনএফএসভি 4 এর সাথে কার্বেরোস ব্যবহার করার বিকল্প রয়েছে, এই লিঙ্কটি দেখুন ।

সুতরাং অন্য কথায়, এনএফএসভি 4 আপনাকে কিছুটা বেশি হওয়ার পরে আপনার প্রয়োজনীয় সুরক্ষা দিতে পারে ... (স্কেলেবল?) .. সর্বত্র sshfs ব্যবহার করে। এটি এখনও আপনি যা চান তা নাও হতে পারে তবে আমি খুব শীঘ্রই এটি ছেড়ে দেব না।

কার্বেরোসের সাহায্যে কেবল কেডিসি সার্ভার প্রমাণীকরণ টোকেন দেয়। স্বয়ংক্রিয়ভাবে একটি ক্লায়েন্ট মেশিন কেবল একটি হোস্ট হিসাবে প্রমাণীকরণ করতে পারে (এবং এটি যদি আপনি এটি কোনও মিলিত এনএফএস / ক্লায়েন্ট-হোস্টনাম @ রিয়েল প্রিন্সিপালকে কীট্যাব দেন) এবং এটি কেবল এনএফএস সার্ভারের সাথে কথা বলার অধিকার দেয়। এটি ব্যবহারকারীর কাছে যাচাই করার ক্ষমতা রয়েছে এবং এনএফএস সার্ভার তাদের কেবল তাদের নিজস্ব ফাইল অ্যাক্সেস করার অনুমতি দেয়। সেকেন্ড = krb5p দিয়ে সার্ভারটি স্নুপিং এবং পরিবর্তনগুলিও প্রতিরোধ করে।

রুট হওয়া আপনার ব্যবহারকারীদের অনুপযুক্ত সুযোগ দেয় না। তারা আরও ফাইলগুলিতে অ্যাক্সেস পাওয়ার একমাত্র উপায় হ'ল একে অপরের মেশিন হ্যাক করে, এনএফএস সার্ভার বা কেডিসি হ্যাক করে। কার্বেরোসের সাথে এনএফএসভি 4 আপনার সুরক্ষা প্রয়োজনীয়তার সাথে পুরোপুরি ফিট করে।

সুরক্ষা মডেল সম্পর্কে এখানে আরও রয়েছে:

• একটি প্রমাণীকরণ সিস্টেম ডিজাইন করা: চার দৃশ্যে একটি কথোপকথন

আপনি যদি কোনও স্থাপনার দিকে তাকিয়ে থাকেন তবে এখানে কিছু ডিবিয়ান / উবুন্টু কেন্দ্রিক টিউটোরিয়াল রয়েছে। আমি এলডিএপি ছাড়াই সাধারণ সেটআপগুলি বাছাই করেছি। এই বিতরণগুলির মধ্যে ডাবকনফ ভিত্তিক কনফিগারেশন রয়েছে যা আপনাকে সেখান থেকে কিছুটা পথ পায়।

• কার্বেরোস স্থাপন করা হচ্ছে (fqdn প্রয়োজনীয়তাগুলি নোট করুন)।
• এনএফএসভি 4 সেটআপ করা হচ্ছে

আমার সংযোজনগুলি: আপনার কোনও des-cbc-crc এনক্রিপ নির্দিষ্ট করার দরকার নেই, তবে আপনাকে krb5.conf- এ অনুমতি_weak_crypto প্রয়োজন হবে যাতে যোগাযোগ প্রোটোকল স্ট্রিম এনক্রিপশনের জন্য des-cbc-crc ব্যবহার করতে পারে। এটি 2.6.35 কার্নেলের মধ্যে অপ্রয়োজনীয় হয়ে উঠবে।

আপনি যদি অ্যাপ্লায়েন্স-এর মতো কোনও কিছু খুঁজছেন তবে ফ্রিআইপিএ রয়েছে ।

sshfs যাওয়ার উপায়। ক্লায়েন্টের উপর:

sshfs -o idmap=user,workaround=rename user@server:/home/user/share /home/user/share

এসএসএস হিসাবে একই অনুমতি ... কারণ আপনি ssh ব্যবহার করছেন! দুর্দান্ত জিনিসটি হ'ল আপনাকে সার্ভারে কোনও কিছু স্পর্শ করতে হবে না, ধরে নিয়ে এসএসডি ইনস্টল করা হয়েছে এবং সঠিকভাবে চলছে। অন্যান্য পরামর্শ হিসাবে পারফরম্যান্স নাও থাকতে পারে তবে এটি খুব সহজ।

সাম্বা আসলে আপনার সেরা বাজির মতো শোনাচ্ছে। সাম্বার ইউনিক্স এক্সটেনশনগুলি থাকে তাই লিনাক্সে সিআইএফ হিসাবে ব্যবহার করার সময় এটি যথাযথ ইউনিক্স অনুমতি এবং হোয়াট নোট প্রদর্শন করা উচিত। আমি মনে করি এটি আপনার সীমাবদ্ধতার জন্য সেরা বিকল্প হতে চলেছে। যদি এটি কাজ না করে তবে sshfs একটি চিমটি ব্যবহার করা যেতে পারে তবে এটি সাম্বার মতো ওএসের সাথে ভাল পারফরম্যান্স বা ইন্টিগ্রেশন পাবে না।

ওপেনএফএস কি ব্যবহারকারীর স্তরের প্রমাণীকরণ এবং অ্যাক্সেস সমর্থন করে?

হ্যাঁ, মনে হচ্ছে ওপেনএএফএস আপনার প্রয়োজনীয়তা এখানে পূরণ করবে, তবে এটি এনএফএসভি 4 কে কারবারাইজড করবে। এই দুটি পরিবেশেই, আপনার ক্লায়েন্টদের "বিশ্বাস" করার দরকার নেই; অ্যাক্সেস নিয়ন্ত্রণ সার্ভার দ্বারা প্রয়োগ করা হয়। এনএফএসের পূর্ববর্তী সংস্করণগুলির আপনার কার্যকরভাবে "বিশ্বাস" ক্লায়েন্টদের প্রয়োজন ছিল, তবে কার্বারাইজড এনএফএসভি 4 এটি দেয় না। ওপেনএএফএস কখনও "বিশ্বস্ত" ক্লায়েন্টের প্রয়োজন হয় নি, এবং প্রমাণীকরণ এবং সুরক্ষার জন্য কার্বেরোসের উপরও নির্ভর করে।