访问权限控制机制

使用集合让一切井井有条 根据您的偏好保存内容并对其进行分类。

本页面介绍如何控制对 Filestore 实例的访问权限。

Filestore 不支持 Kerberos 来保护对 Filestore 实例的访问。您可以使用 Linux 选项来控制 NFS 访问以及 Identity and Access Management (IAM) 以控制对实例操作(例如创建、修改、查看和删除实例)的访问权限。

文件共享导出设置

Filestore 文件共享分配有以下默认 /etc/exports 设置:

  • 客户端列表用于标识允许连接到文件共享的客户端,其中包含了您为 Filestore 实例选择的 VPC 网络中的所有内部 IP 地址。内部 IP 地址可以是子网范围中列出的任何范围。 但是,如果您有客户端在非 RFC 1918 子网范围内,则必须使用基于 IP 的访问权限控制明确授予客户端对 Filestore 实例的访问权限。
  • 使用了 rw 选项,因此文件共享是可读写的。
  • 使用了用户 ID 映射选项 no_root_squash,因此 Filestore 实例和客户端上的所有用户和群组(包括 root 用户)都应该是相同的。
  • 所有其他选项均使用 /etc/exports 默认值。

基于 IP 的访问权限控制

如需更改这些导出设置,您可以使用 Google Cloud Console 创建访问权限控制规则,也可以在创建实例时使用 gcloud CLI 指定 json 配置文件。如需了解详情,请参阅配置基于 IP 的访问权限控制

您还可以在创建实例后添加新的访问权限控制规则或修改现有规则。如需了解详情,请参阅修改实例

文件共享权限

创建 Filestore 实例时,该实例的文件共享具有默认的 POSIX 文件权限 rwxr-xr-x。这些权限意味着在 Filestore 实例上,只有连接的客户端上的 root 用户才拥有文件共享的读/写权限。其他用户默认只具有读取访问权限;但客户端 root 用户可以更改权限和所有者。

配置对文件共享的访问权限

装载文件共享时,您可以使用装载选项/etc/fstab 设置来确定文件共享是否可写入数据以及是否可在该文件共享中执行文件。装载文件共享后,您便可以使用 chmodsetfacl 等标准 Linux 命令来设置文件和文件共享权限。只有基本层级支持 setfacl

设置一致的权限

我们强烈建议您为连接到同一 Filestore 实例的所有客户端上的每位用户设置一致的权限,以防止提权。如果文件共享装载在多个客户端上,并且用户在其中某个客户端上具有(但在其他客户端上没有)root 权限,则可能会发生以下提权现象:

  • 假设用户从其具有 root 访问权限的客户端设置可执行文件的 setuid 属性。
  • 然后,用户将该可执行文件上传到文件共享。
  • 那么,用户在其至少具有读取访问权限的任何客户端上,便能够以 root 用户身份执行上传的文件。

出现这种情况的原因是 setuid 位允许用户使用文件所有者(在本例中为 root)的权限来执行文件。