Сетевая файловая система с безопасностью уровня пользователя для Linux
Компьютер имеет определенное количество физической памяти. Но большую часть времени мы хотим больше. Таким образом, мы подкачиваем некоторую память на диске.
Каждый раз, когда нам нужна та память, она должна быть подкачана назад в память (выгружающий некоторую другую часть). Существуют чрезвычайно интеллектуальные алгоритмы для уменьшения задержки, но все еще иногда мы должны ожидать.
На окнах при рассмотрении диспетчера задач можно показать отсутствия страницы столбца. Это показывает число времени, приложение просит часть памяти, которая была на диске и должна быть подкачана. Много отсутствий страницы = замедляет приложение.
Этот процесс используется на нескольких уровнях. Сводка от быстро для замедления:
- На уровне процессоров существуют регистры. Это самая быстрая память, но сумма ограничена.
- Также на ЦП существует небольшой кэш памяти. Здесь маленькая часть под управлением программы хранится для быстрого доступа. Поиск на алгоритмах предсказания ответвления, если Вы хотите знать больше.
- Иногда существуют кэши уровня 2 между ЦП и оперативной памятью.
- Следующий уровень является оперативной памятью (RAM).
- Последний уровень и самый медленный из всех является диском, иногда можно использовать карты с интерфейсом USB в качестве дополнительной памяти.
Я не уверен, что полностью понимаю:
"Я не хочу полагаться на доверие машины как в NFSv4, потому что у пользователей клиента будут полномочия пользователя root".
Если Вы подразумеваете, что у пользователей клиента будут полномочия пользователя root на клиенте, и Вы не хотите, чтобы у них был корень на хосте затем, Вы просто не используете "no_root_squash" опцию. Можно также сделать вещи как отключение setuid, чтобы помочь снизить риск для клиента с сервера также.
У Вас также есть опция использовать kerberos с NFSv4, видеть эту ссылку.
Так, другими словами, NFSv4 мог бы дать Вам безопасность, в которой Вы нуждаетесь будучи немного больше... (масштабируемый?).. использование sshfs везде. Это все еще не могло бы быть тем, что Вы хотите, но я не разочаровался бы в нем слишком скоро.
С Kerberos только kdc сервер предоставляет аутентификационные маркеры. Клиентская машина отдельно может только пройти проверку подлинности как хост (и это - то, если Вы даете ей keytab соответствию nfs/client-hostname@REALM принципал), и который только дает ей право говорить с сервером nfs. Это - пользователи, у которых есть способность пройти проверку подлинности, и сервер nfs только разрешает их получать доступ к своим собственным файлам. С sec=krb5p сервер предотвращает отслеживание и изменение также.
Быть корнем не даст Вашим пользователям несоответствующие полномочия. Единственным путем они добрались бы, доступ к большему количеству файлов путем взламывания машин друг друга, взламывания сервера nfs или kdc. NFSv4 с Kerberos соответствует Вашим требованиям к защите хорошо.
Вот находится больше на модели обеспечения безопасности:
При рассмотрении развертывания вот некоторые debian/ubuntu центральные учебные руководства. Я выбрал простые установки без LDAP. Эти дистрибутивы имеют находящуюся в debconf конфигурацию, которая получает Вас часть пути там.
- Установка Kerberos (отмечают fqdn требования).
- Установка NFSv4
Мои дополнения: Вы не должны указывать des-cbc-crc enctype, но Вам нужно к allow_weak_crypto в krb5.conf так, чтобы протокол связи мог использовать des-cbc-crc для поточного шифрования. Это станет ненужным в 2.6.35 ядрах.
При рассмотрении чего-то подобного устройству существует FreeIPA.
sshfs является способом пойти. На клиенте:
sshfs -o idmap=user,workaround=rename user@server:/home/user/share /home/user/share
Полномочия то же как ssh..., потому что Вы используете ssh! Хорошая вещь - Вы, не должны затрагивать, что-либо на сервере, принимая sshd установлено и работающий правильно. Не мог бы иметь представления в качестве других предложений, но это очень просто.
самба действительно на самом деле походит на Ваш лучший выбор. самба действительно имеет расширения Unix поэтому, когда смонтировано с помощью в качестве cifs на Linux, который она должна показать надлежащим полномочиям Unix и этажерке. Я думаю, что это будет наилучшим вариантом для Ваших ограничений. если это не решает, что sshfs мог бы использоваться в повышении, но он не будет иметь как хорошая производительность или интеграция в ОС как самба.
Поддерживает ли OpenAFS аутентификацию и доступ на уровне пользователя?
Да, похоже, что OpenAFS удовлетворит ваши требования, но также и Kerberized NFSv4. В обеих этих средах вам не нужно «доверять» клиентам; контроль доступа осуществляется серверами. Предыдущие версии NFS действительно требовали от вас "