Проблема, с которой я столкнулся, заключается в том, что у меня есть NFS NAS, который я использую для хранения и экспорта домашнего каталога, медиафайлов, таких как музыка, фильмы и т. д.
Критические вещи резервируются, так что воздержитесь от комментариев по поводу "Если вы не можете позволить себе потерять что-то, сделайте резервную копию, правило 3-2-1". Понятно. Но это не касается меня и 7 ТБ данных, поэтому я делаю резервную копию того, что мне нужно.
Вот в чем дело, мне нравится возможность экспортировать эти каталоги на другие компьютеры, чтобы я мог читать, а иногда и писать, но недавно я rm -rf . /закинул кучу всего на свой ноутбук, и, к счастью, в то время они не были смонтированы. Я также понял и недавно проверил, что если сделать что-то подобное с тем способом, которым я смонтировал NFS, то все будет уничтоженоудаленно, а также. (снова избавьте меня от уроков о rm, японятноМне просто нужно избавиться от нескольких старых вредных привычек)
Способы, которыми вы можете защитить его, очевидны. Используйте только пользователя anon, или экспортируйте как ro, или монтируйте как ro на клиентском компьютере. Мне не нравится последний вариант, потому что он дает контроль злоумышленнику, если он получит доступ к моей сети.
Мне нужен способ удовлетворить следующие условия:
- Каталоги могут быть смонтированы клиентской системой, но обычно они недоступны для записи, но доступны для чтения.
- В более поздний момент пользователь решает, что ему нужно что-то отредактировать, и он это делает.что-нибудьчтобы сделать это возможным с клиентского компьютера.*
* это значит, что я не хочу входить по SSH, если только это не является абсолютно необходимым
Единственное, что, по-моему, работает функционально так, как я думаю, — это использование no_root_squashи монтирование файловой системы roна клиентской системе, а затем, -o remount,rwкогда мне нужно что-то изменить, это необходимо, но, как я уже говорил ранее, я считаю, что это имеет серьезные последствия для безопасности.
решение1
IIUC, вы обычно хотите быть отключённым от удаления или записи файлов мультимедиа, но иногда хотите добавить файл, независимо от того, по ссылке NFS или нет.
Для этой цели, зачем муторить с параметрами монтирования? Почему бы не установить каталоги носителей в режим 555? Как владелец, используйте chmod u+w dirname && cp filename dirname/; chmod u-w dirnameдля обновления каталога по мере необходимости.