网络存储 RAID 设备权限的安全方法

网络存储 RAID 设备权限的安全方法

我管理着一个支持十几名员工的小型网络。我们有大约 8 TB 的数据存储在多个 NAS 设备上。我最近构建了一个 20 TB 的 RAID 文件服务器(带有 XFS 单分区),我们正在迁移到该服务器。

当前设备的权限是异构的:一些存储是安装在 Windows 7 上的内置硬盘;一些是通过 USB 连接到 Ubuntu 的 Drobo;另外一些是 Snap Servers,运行自己版本的 UNIX。

不幸的是,网络工作站也是异构的。我们有 Linux、Mac OS 和 Windows XP/Vista/7/8。这在权限方面给用户带来了一些混乱。因此,我基本上违背自己的判断,把存储做得相当宽松。

使用此新系统,阵列将安装在 Linux 系统上,所有存储都将位于此设备上。因此,我有机会第一次就正确设置它。

这就是我的问题所在。最好的方法是什么?我是否应该为网络上的每个人(在组中)创建用户并强制他们使用这些凭据进行连接?我是否应该将权限设置为777并保持打开状态?或者有没有更好的方法来实现某种程度的安全性,同时又使我的用户能够轻松获得对共享的读/写访问权限?

编辑

从评论中,我想更新一下以澄清问题。我正在与 Samba 共享。我看到的问题是文件和文件夹的所有权。

例如,如果我在服务器上创建用户(在一个组中),这些用户与每个用户在其工作站上的凭据相对应,那么这对于权限来说是可以的,例如,每个人都可以访问和编辑文件,但每个用户创建的文件/文件夹的所有权是不同的。这会导致问题,因为共享实际上应该由所有用户写入,并且每个用户都可以自行决定删除文件夹。

答案1

acls 的哪些方面您不喜欢?如果您使用它的所有功能(包括目录上的默认 acls),我无法想象它无法处理的情况。尽管它的复杂性使得学习和自动化有点困难。Samba 甚至可以将 windows 域对象权限转换为 acls。您关于文件所有权的问题可以通过目录上的组 setgids 来处理。如果目录具有 setgid,则其中新创建的文件将与目录的组一起创建,而不是与创建者的组一起创建。

chmod g+s /the/shared/dir

相关内容