回到我们在实例(2)中,出现权限不足的问题,那就是因为默认设置了root_squash权限,如果客户端root用户进行访问的时候,将root权限压缩为nfsnobody权限。
接下来表演一波,取消root_squash的权限,使用no_root_squash权限,即使共享目录没有写入的权限,我照样能够写入文件。
修改配置文件添加no_root_squash权限
清除共享文件写入权限
重启服务,客户端验证
事实证明,目录没有写入权限仍然可以创建文件
你说这和安不安全有什么区别吗?注意了,一般共享目录都会有写入权限,当然就可已删除。例如一个搞破坏的人拥有了这样的权限,直接把所有共享文件删了,那就凉凉了。
所以当我们设置一个nfs服务的时候,切记不能使用no_root_squash权限。最好能使用root_squash和all_squash权限。
All_squash权限是将所有的访问用户都压缩为nfsnobody用户权限。
当然出于对目录安全的考虑,我们可还可以将共享目录的所有者,所属组设为nfsnobody。
这样不管你是用什么用户访问,如果不被压缩为nfsnobody用户,是没有办法在这个用户下做任何操作。当然前提不要加入no_root_squash权限。
原文地址:http://blog.51cto.com/12332766/2126316
