Crie um compartilhamento de samba com apenas gravação e sem permissões de leitura

Navegue suas respostas
0

Caso de uso

Sou o único usuário. Eu tenho um NAS do Ubuntu com criptografia fulldisk, e estou tentando fazer backup de minhas próprias máquinas Windows para isso. Eu quero ter um pendrive que eu possa inicializar para clonar as unidades do Windows para o NAS, mas não quero que todo o compartilhamento de backup seja legível por qualquer um que possa se deparar com esse pendrive com as credenciais de compartilhamento nele. Você consegue pensar em uma solução melhor?

O que eu estava pensando poderia funcionar

Eu tenho procurado, mas não consegui encontrar o que preciso, tudo que eu encontrei é simplesmente ativar o acesso de gravação a um compartilhamento, que não é o que eu quero fazer.

Eu gostaria de criar um compartilhamento de samba na minha máquina Ubuntu, onde os usuários têm somente permissões de gravação. Eu gostaria que eles pudessem criar arquivos, mas não conseguir lê-los, nem listar pastas dentro do compartilhamento.

Isto é para o propósito de backup. Eu quero ter um drive USB inicializável que eu possa inicializar a partir dele, que irá capturar imagens de disco das unidades naquela máquina e salvar no compartilhamento de samba, mas não quero que o usb tenha acesso a todas as imagens.

Fico feliz se ele falhar se um arquivo já existir, asseguro que os nomes dos arquivos não entrem em conflito usando UUIDs / hora da unidade.

    
por localhost 05.07.2018 / 08:51

1 resposta

1

Os pontos de montagem suportam apenas a desativação de gravação (somente leitura), mas não a desativação de leitura. No entanto, você pode fazer a maior parte com permissões de arquivo. Não será possível impedir que um usuário leia seus próprios arquivos, mas você pode impedi-la de ler os arquivos de outras pessoas.

Você precisará:

  • Sticky bit, para impedir que os usuários removam os arquivos uns dos outros.
  • Desative os bits de leitura do diretório para impedir que outras pessoas leiam
  • Defina uma permissão padrão para desativar os bits de leitura dos arquivos para impedir que outras pessoas os leiam.

Como 

  chmod +t "«the directory»"
  setfacl -m "u::wx,g::wx,o:-" "«the directory»"
  setfacl -m "d:u::-,d:g::-,d:o:-" "«the directory»"

Advertências

Isso não será facilmente usado pelos usuários, considere dar algumas permissões extras. Ou um diretório por usuário.

Eu também não acho que essa é a maneira de fazer backups. Configure um cron job para fazer backups todos os dias. Você pode estar usando backups para controle de revisão, considere o uso de um sistema de controle de revisão. A subversão (svn) é boa para os usuários e a maioria dos tipos de arquivos. O Mercurial também é bom para programadores e pode ser usado para outros tipos de arquivos, mas eu não recomendaria isso para nenhum arquivo não mesclável (como o MS-Office).

    
por 05.07.2018 / 13:06

Tags

Edite campos separados por vírgula Como funciona uma varredura semi-aberta no Nmap?