在 UNIX 中指定文件和文件夹的复杂权限

在 UNIX 中指定文件和文件夹的复杂权限

在工作中,我管理一个负责数据管理和安全的团队。我们需要为文件和文件夹指定复杂的权限,而不仅仅是标准的用户/组/世界 rwx。研究表明,这可以通过在运行 NFSv4 的文件管理器上使用扩展文件属性(setfacl、getfacl 命令)来实现。工作中的文件管理器运行的是 NFSv3。每当我向 IT 团队询问转换问题时,他们总是回答“升级到 NFSv4 太慢、太难、不安全或不稳定等”,而不提供数据或时间表来证实这些说法。结果,我们最终创建了多个数据副本,其中目录 A 包含组 A 可以查看的文件,目录 B 包含组 B 可以查看的文件。

我想知道几件事:

  1. 这些说法是真的吗?从 NFSv3 转换为启用了扩展文件属性的 NFSv4 是否会严重影响性能?还有其他需要考虑的事项吗?例如,我认为某些应用程序可能未编码以正确解释这些扩展文件属性。
  2. 除了 NFSv4 上的 acls 之外,还有其他解决方案或方法来应用复杂的权限吗?工作中的大多数机器都运行 SLES11 或 SLES12。

感谢您提供的任何帮助或指导...谢谢!

答案1

NFS 4 更加安全,而且非常稳定,如果我没记错的话,它从 2003 年就开始使用了。还有更新的版本,4.1 和 4.2。如果您不启用任何高级功能,升级起来相当容易。

  1. 由于使用 udp 和 tcp,nfs 3 上的性能可能会更好一些;nfs 4 仅使用 tcp。但在大多数情况下,这实际上不会造成太大的差异。实际上它可以得到补偿,因为在 tcp 中,当数据包丢失时,只有这些丢失的数据包会被重新传输,这与 udp 相反。nfs 4 上还有委派,可以提高性能。加密会对性能产生很大影响,但这是一种选择,在 nfs 4 上使用更高的安全标准不是强制性的,但如果需要,它们是可用的。
    我真的无法说出使用 nfs v4 的应用程序不兼容性。我已经将它用于文件复制移动操作和视频流,没有任何问题。

  2. 我无法就此给出明确的答案,但我认为,正是由于缺乏替代方案,才催生了 nfs v4。可以使用 SMB/CIFS;我不认为它是原生替代方案,因为它是 Windows 协议,但 UNIX/Linux 实现非常出色。不过,我认为在 Linux 服务器和客户端上实现它会比 nfs v4 更具挑战性。

您的 IT 团队不愿意切换到 v4 的原因可能是操作系统兼容性和支持:服务器和客户端都必须支持它。也许有较旧的操作系统,例如没有 SP 的 SLES 11,不受 SuSE 支持,他们更愿意避免更改这些操作系统上的设置。

还可以选择同时使用 nfs v3 和 v4 进行共享。您可以在一些目录上进行测试,然后再完全切换到 v4。

相关内容