我面临的问题是我有一个 NFS NAS,用于存储和导出主目录、音乐、电影等媒体文件。
关键的东西都有备份,所以不要再评论“如果你不能失去它,就按照 3-2-1 规则备份”。知道了。但对于我和 7TB 的数据来说,这种情况并没有发生,所以我备份了我需要的内容。
所以事情是这样的,我喜欢能够将这些目录导出到其他计算机,以便我可以读取,有时还可以写入,但我最近rm -rf . /在我的笔记本电脑上放了一堆东西,谢天谢地,当时它们还没有安装。我还意识到,并且最近进行了测试,使用我安装 NFS 的方式执行类似的操作会导致清除所有内容远程,还有。 (再次饶恕我有关 rm 的课程,我知道了我只是有一些非常旧的坏习惯需要改掉)
保护它的方法是显而易见的。仅使用 anon 用户,或导出为 ro,或在客户端计算机上安装为 ro。我不喜欢后一个选项,因为如果攻击者获得对我的网络的访问权限,它就会向攻击者提供控制权。
我需要一种方法来满足以下条件:
- 目录可以由客户端系统挂载,但通常不可写,但可读。
- 稍后,用户决定需要编辑某些内容,然后他们就这么做了某物以便从客户端计算机实现这一点。*
* 意思是除非绝对必要,否则我不想通过 SSH 登录
唯一按照我的想法在功能上工作的方法是在客户端系统上使用no_root_squash和安装文件系统,然后当我需要更改某些内容时,但就像我之前所说的那样,我觉得这会产生严重的安全隐患。ro-o remount,rw
答案1
IIUC,您通常希望禁止删除或写入媒体文件,但偶尔想要添加文件,无论是否通过 NFS 链接。
为此,为什么 putz 带有安装选项?为什么不将媒体目录设置为模式 555?作为所有者,用于chmod u+w dirname && cp filename dirname/; chmod u-w dirname根据需要更新目录。