Мы переносим наш интернет-шлюз с Cisco на маршрутизатор VyOS.
Наш интернет-провайдер предоставляет нам сеть / 29
на VLAN 2715 со своего маршрутизатора ( ABC114 / 29
, где ABC113 - их маршрутизатор и шлюз для нашего трафика).
Мы есть коммутатор уровня 3, который выполняет маршрутизацию между VLAN, и он имеет IP 172.16.255.255 для трафика к шлюзу. Трафик помечен в VLAN 255.
При попытке зафиксировать настройки NAT мы получаем предупреждения, показывающие, что все IP-адреса не настроены на маршрутизаторе, кроме одного. Этот IP-адрес указан в интерфейсы eth1 vif 2715 адрес
( ABC114
, хотя это вся подсеть ABC114 / 29
- в настоящее время только динамический NAT (исходное правило 100) работает) что странно.
Мы должны сделать NAT 1-к-1 для нескольких серверов (в конфигурации примера - AB Другие программы (например, выполняющая резервное копирование) получат ошибку при попытке прочитать этот открытый файл.
Теперь у кого-то есть рабочий процесс, основанный на этом поведении, и это не похоже на правду. Я могу открыть документ Word или dd
файл на монтировании Linux CIFS, и пока он открыт, я могу прочитать все это целиком из другого клиента CIFS.
Предполагая, что я не мог себе представить такое поведение , есть ли способ воссоздать это? Я пробовал netapp с включенным SMB2 и без него, а также с включенными блокировками и без них. Я пробовал файлеры с разными версиями OnTap. Я не вижу в Linux параметров монтирования, которые могли бы повлиять на поведение. Ни одна из этих конфигураций не дает мне запретить чтение по умолчанию.
Цель: Разрешить клиентам писать в общий ресурс SMB, но запретить доступ для чтения другим клиентам, пока файл не будет закрыт. setsebool user_exec_content off Общая конфигурация SELINUX = enforcing SELINUXTYPE = target Когда я вхожу в учетную запись Мэри, я могу ...
Я настроил SELinux:
semanage login -a -s user_u mary
setsebool user_exec_content off
Общая конфигурация
SELINUX=enforcing
SELINUXTYPE=targeted
Когда я вхожу в учетную запись Мэри, я все еще могу запускать сценарии в ее учетной записи, но setsebool (user_exec_content = off) должен запретить это делать?
Кто-нибудь может указать мне правильное направление?
Пользователь Selinux не ограничен при использовании su
Некоторые приложения или помощники используют PAM для получения/установки ограничений SELinux. SSHD, например, требует, чтобы пользовательские ограничения SELinux были включены в UsePAM yes
. В зависимости от ваших политик SELinux и булеанов, вы можете обойти ограничения при использовании некоторых помощников, таких как su
или sudo
, а также в зависимости от того, как они выполняются. Это требует понимания того, какие переходы разрешены в политике SELinux.
Если Мэри входит в систему через SSH и UsePAM yes
установлен, то они должны быть ограничены, как и ожидалось, и ваш булеан должен вступить в силу.