Файловый шлюз AWS - обеспечивает аутентичный UID/GID

Question

Файловый шлюз AWS - обеспечивает аутентичный UID/GID

Похоже, что AWS File Gateway позволяет устанавливать разрешения UID/GID NFS для общих ресурсов и файлов в шлюзе. Это замечательно, но, поскольку на самом шлюзе не хранится локальная база пользователей, кажется, что после аутентификации (которая, похоже, идет вразрез с хранилищем пользователей клиента, а не с каким-либо хранилищем пользователей File Gateway), значения UID и GID кажутся быть заполненным клиентом, а не сервером. Насколько я могу судить, это лишает законной силы любой вид безопасности. Любой, кто знает UID или GID для общего ресурса, может соответственно установить UID / GID локального компьютера и получить доступ к этому общему ресурсу с любым паролем, который он хочет.

Что я тут недопонимаю?

2

amazon-web-services aws-storage-gateway

Источник

user326518 29 июл '17 в 14:33

1 ответ

Решение

Другие вопросы по тегам amazon-web-services aws-storage-gateway

user1695906 29 июл '17 в 22:26 2017-07-29 22:26 · Accepted Answer · 2017-07-29 22:26

Что я тут недопонимаю?

Только то, что это всегда было ограничением NFS: клиентские машины являются доверенными.

В NFS есть встроенное предположение, что пользователи с привилегированным доступом к клиентскому компьютеру являются доверенными пользователями, и поэтому ни у одного пользователя не будет учетной записи с конфликтующим или неавторизованным UID/GID.

В среде, где это не так, ваши наблюдения верны... базовая модель безопасности NFS не обеспечивает значимой безопасности, если клиентским машинам нельзя доверять.