Mein Problem besteht darin, dass ich ein NFS-NAS habe, das ich zum Speichern und Exportieren eines Home-Verzeichnisses und von Mediendateien wie Musik, Filmen usw. verwende.
Die kritischen Dinge werden gesichert, also ersparen Sie sich Kommentare wie „Wenn Sie es sich nicht leisten können, es zu verlieren, sichern Sie es nach der 3-2-1-Regel.“ Verstanden. Aber das passiert mir mit 7 TB Daten nicht, also sichere ich, was ich muss.
Die Sache ist also, dass ich diese Verzeichnisse gerne auf andere Computer exportieren kann, damit ich sie lesen und manchmal auch schreiben kann, aber ich rm -rf . /habe kürzlich eine Menge Zeug auf meinem Laptop und zum Glück waren sie damals nicht gemountet. Ich habe auch festgestellt und kürzlich getestet, dass so etwas mit der Art, wie ich NFS gemountet hatte, dazu geführt hätte, dass alles gelöscht worden wäre.aus der Ferne, auch. (erspare mir wieder die Lektionen über rm, ichhabe es(Ich muss nur ein paar wirklich alte schlechte Angewohnheiten loswerden)
Die Möglichkeiten, es zu sichern, liegen auf der Hand. Verwenden Sie nur den anonymen Benutzer, exportieren Sie als ro oder mounten Sie als ro auf dem Clientcomputer. Die letztere Option gefällt mir nicht, da sie einem Angreifer die Kontrolle überlässt, sollte er Zugriff auf mein Netzwerk erlangen.
Ich brauche eine Möglichkeit, die folgenden Bedingungen zu erfüllen:
- Verzeichnisse können vom Client-System gemountet werden, sind aber im Normalfall nicht beschreibbar, wohl aber lesbar.
- Zu einem späteren Zeitpunkt entscheidet der Benutzer, dass er etwas bearbeiten muss, und er tut diesetwasum dies vom Client-Computer aus zu ermöglichen.*
* Das bedeutet, dass ich mich nicht per SSH anmelden möchte, es sei denn, es ist unbedingt nötig
Das einzige, was meiner Meinung nach funktional zu funktionieren scheint, ist, no_root_squashdas Dateisystem roauf dem Client-System zu verwenden und zu mounten und es -o remount,rwdann zu ändern, wenn ich etwas ändern muss. Wie ich jedoch bereits sagte, bin ich der Meinung, dass dies schwerwiegende Auswirkungen auf die Sicherheit hat.
Antwort1
Wenn ich mich recht entsinne, möchten Sie normalerweise das Löschen oder Schreiben in Mediendateien verhindern, möchten aber gelegentlich eine Datei hinzufügen, unabhängig davon, ob über die NFS-Verbindung oder nicht.
Warum also mit den Mount-Optionen herumspielen? Warum die Medienverzeichnisse nicht auf den Modus 555 setzen? Als Eigentümer können Sie chmod u+w dirname && cp filename dirname/; chmod u-w dirnamedas Verzeichnis nach Bedarf aktualisieren.