我面臨的問題是我有一個 NFS NAS,用於儲存和匯出主目錄、音樂、電影等媒體檔案。
關鍵的東西都有備份,所以不要再評論「如果你不能失去它,就按照 3-2-1 規則備份」。知道了。但對於我和 7TB 的資料來說,這種情況並沒有發生,所以我備份了我需要的內容。
所以事情是這樣的,我喜歡能夠將這些目錄導出到其他計算機,以便我可以讀取,有時還可以寫入,但我最近rm -rf . /在我的筆記本電腦上放了一堆東西,謝天謝地,當時它們還沒有安裝。我還意識到,並且最近進行了測試,使用我安裝 NFS 的方式執行類似的操作,會導致清除所有內容遠端,還有。 (再次饒恕我有關 rm 的課程,我知道了我只是有一些非常舊的壞習慣需要改掉)
保護它的方法是顯而易見的。僅使用 anon 用戶,或匯出為 ro,或在客戶端電腦上安裝為 ro。我不喜歡後一個選項,因為如果攻擊者獲得對我的網路的存取權限,它就會向攻擊者提供控制權。
我需要一種方法來滿足以下條件:
- 目錄可以由客戶端系統掛載,但通常不可寫,但可讀。
- 稍後,用戶決定需要編輯某些內容,然後他們就這麼做了某物以便從客戶端計算機實現這一點。
* 意思是除非絕對必要,否則我不想透過 SSH 登錄
似乎按照我的想法在功能上起作用的唯一事情是在客戶端系統上使用no_root_squash和安裝檔案系統,然後當我需要更改某些內容時,但就像我之前所說的那樣,我覺得這會產生嚴重的安全隱憂。ro-o remount,rw
答案1
IIUC,您通常希望禁止刪除或寫入媒體文件,但偶爾想要新增文件,無論是否透過 NFS 連結。
為此,為什麼 putz 帶有安裝選項?為什麼不將媒體目錄設定為模式 555?作為所有者,用於chmod u+w dirname && cp filename dirname/; chmod u-w dirname根據需要更新目錄。