Festlegen komplexer Berechtigungen für Dateien und Ordner in Unix

Festlegen komplexer Berechtigungen für Dateien und Ordner in Unix

Bei der Arbeit leite ich eine Gruppe, die für Datenverwaltung und -sicherheit zuständig ist. Wir müssen komplexe Berechtigungen für Dateien und Ordner festlegen, die über die Standard-Benutzer-/Gruppen-/Welt-RWX hinausgehen. Untersuchungen haben ergeben, dass dies mit erweiterten Dateiattributen (Befehle setfacl, getfacl) auf Filern mit NFSv4 möglich ist. Die Filer bei der Arbeit verwenden NFSv3. Wenn ich die IT-Gruppe nach der Konvertierung frage, antworten sie immer: „Es ist zu langsam, zu schwierig, nicht sicher oder stabil usw.“, um auf NFSv4 zu aktualisieren, ohne Daten oder Zeitpläne zur Untermauerung der Behauptungen bereitzustellen. Infolgedessen erstellen wir am Ende mehrere Datenkopien, wobei Verzeichnis A Dateien enthält, die Gruppe A anzeigen kann, und Verzeichnis B Dateien enthält, die Gruppe B anzeigen kann.

Ich habe mich über ein paar Dinge gewundert:

  1. Sind diese Behauptungen wahr? Hat die Konvertierung von NFSv3 zu NFSv4 mit aktivierten erweiterten Dateiattributen erhebliche Auswirkungen auf die Leistung? Gibt es noch andere Dinge, die zu berücksichtigen sind? Ich gehe beispielsweise davon aus, dass einige Anwendungen möglicherweise nicht so codiert sind, dass sie diese erweiterten Dateiattribute richtig interpretieren.
  2. Gibt es neben ACLs auf NFSv4 eine andere Lösung oder Methode zum Anwenden komplexer Berechtigungen? Auf den meisten Maschinen bei der Arbeit läuft entweder SLES11 oder SLES12.

Ich bin für jede Hilfe oder Anleitung dankbar, die Sie anbieten können ... Danke!

Antwort1

NFS 4 kann viel sicherer sein und ist sicherlich stabil. Soweit ich mich erinnere, ist es seit 2003 verfügbar. Es gibt auch neuere Versionen, 4.1 und 4.2. Ein Upgrade ist ganz einfach, wenn Sie keine der erweiterten Funktionen aktivieren.

  1. Die Leistung ist unter NFS 3 aufgrund der Verwendung von UDP und TCP möglicherweise etwas besser; NFS 4 ist nur TCP. Aber das macht in den meisten Szenarien keinen so großen Unterschied. Tatsächlich kann es kompensiert werden, da bei TCP, wenn Pakete verloren gehen, im Gegensatz zu UDP nur diese verlorenen Pakete erneut übertragen werden. Es gibt auch Delegation unter NFS 4, was die Leistung verbessern kann. Verschlüsselung kann die Leistung stark beeinträchtigen, aber das ist eine Wahl; es ist nicht zwingend erforderlich, unter NFS 4 höhere Sicherheitsstandards zu verwenden, aber sie sind bei Bedarf verfügbar.
    Ich kann nicht wirklich etwas über Anwendungsinkompatibilitäten bei Verwendung von NFS v4 sagen. Ich habe es ohne Probleme für Dateikopier- und -verschiebungsvorgänge und Videostreaming verwendet.

  2. Ich kann Ihnen darauf keine definitive Antwort geben, aber ich glaube, dass NFS v4 aus Mangel an Alternativen entstanden ist. SMB/CIFS könnte verwendet werden; ich halte es nicht für eine native Alternative, da es ein Windows-Protokoll ist, aber die UNIX/Linux-Implementierung ist ausgezeichnet. Obwohl ich annehme, dass es eine größere Herausforderung wäre, es auf Linux-Servern und -Clients zu implementieren als NFS v4.

Ein Grund, warum Ihr IT-Team zögert, auf v4 umzusteigen, kann die Betriebssystemkompatibilität und -unterstützung sein: Sowohl Server als auch Clients müssen es unterstützen. Vielleicht gibt es ältere Betriebssysteme, beispielsweise SLES 11 ohne SPs, die von SuSE nicht unterstützt werden, und Sie möchten es vermeiden, Einstellungen an diesen zu ändern.

Es besteht auch die Möglichkeit, sowohl NFS v3 als auch v4 zu teilen. Sie können es in einigen Verzeichnissen testen, bevor Sie vollständig auf v4 umsteigen.

verwandte Informationen