Início / unix / Perguntas / 453541
Accepted
localhost
Asked: 2018-07-05 22:51:54 +0800 CST

Crie compartilhamento de samba apenas com permissão de gravação e sem permissão de leitura

  • 772

Caso de uso

Eu sou o único usuário. Eu tenho um NAS Ubuntu com criptografia de disco completo e estou tentando fazer backup de minhas próprias máquinas Windows para isso. Eu quero ter um pendrive que eu possa inicializar para clonar as unidades do Windows para o NAS, mas não quero que todo o compartilhamento de backup seja legível por qualquer pessoa que possa encontrar esse pendrive com as credenciais de compartilhamento nele. Você consegue pensar em uma solução melhor?

O que eu estava pensando poderia funcionar

Estive procurando, mas não consegui encontrar o que preciso, tudo o que encontrei é simplesmente habilitar o acesso de gravação a um compartilhamento, que não é o que quero fazer.

Eu gostaria de criar um compartilhamento de samba na minha máquina ubuntu onde os usuários tenham apenas permissões de gravação. Eu gostaria que eles pudessem criar arquivos, mas não pudessem lê-los, nem listar pastas dentro do compartilhamento.

Isso é para fins de backup. Eu quero ter uma unidade usb inicializável que eu possa inicializar que pegue imagens de disco das unidades nessa máquina e salve no compartilhamento do samba, mas não quero que esse usb tenha acesso a todas as imagens.

Fico feliz se ele simplesmente falhar se um arquivo já existir, garantirei que os nomes dos arquivos não entrem em conflito usando UUIDs/hora da unidade.

backup samba

2 respostas

  1. Os pontos de montagem suportam apenas a desativação da gravação (somente leitura), mas não a desativação da leitura. No entanto, você pode fazer a maior parte com permissões de arquivo. Não será possível impedir um usuário de ler seus próprios arquivos, mas você pode impedi-lo de ler os arquivos de outras pessoas.

    Você vai precisar de:

    • Bit pegajoso, para impedir que os usuários removam os arquivos uns dos outros.
    • Desligue os bits de leitura do diretório para impedir que outros leiam
    • Defina uma permissão padrão para desativar os bits de leitura dos arquivos e impedir que outras pessoas os leiam.

    Como

      chmod +t "«the directory»"
  setfacl -m "u::wx,g::wx,o:-" "«the directory»"
  setfacl -m "d:u::-,d:g::-,d:o:-" "«the directory»"

    Avisos

    Isso não será facilmente usado pelos usuários, considere conceder algumas permissões extras. Ou um diretório por usuário.

    Eu também não acho que esta é a maneira de fazer backups. Configure um cron job para fazer backups todos os dias. Você pode estar usando backups para controle de revisão, considere usar um sistema de controle de revisão. A sub-versão (svn) é boa para usuários obrigatórios e para a maioria dos tipos de arquivo. O Mercurial também é bom para programadores e pode ser usado para outros tipos de arquivo, mas eu não o recomendaria para nenhum arquivo não mesclável (como o MS-Office).

    • 1
  2. Best Answer

    Eu fiz algo semelhante, a única diferença foi que um usuário poderia escrever somente sem ler (ou mesmo listar diretório), outro usuário só poderia ler.

    /etc/samba/smb.conf

    [write-only]
  comment = Write-only access without read
  path = /smbshare
  hosts allow = 172.17.10.10
  hosts deny = 0.0.0.0/0
  read only = no
  write list = smbwrite
  force user = smbwrite
  force group = smbread
  create mask = 0350
  directory mask = 0350
  force create mode = 0350
  force directory mode = 0350

    Direitos de acesso inicial no lado do servidor:

    chmod -R 350 /smbshare
chown -R smbwrite:smbread /smbshare

    A única desvantagem é que, se você souber o nome exato do arquivo, poderá listá-lo.

    A parte a seguir é para referência:

    [read-only]
  comment = Read-only access
  path = /smbshare
  read only = yes
  hosts allow = 172.17.10.20
  hosts deny = 0.0.0.0/0
  read list = @smbread

    /etc/fstabentradas em ambos os clientes:

    smbwrite (172.17.10.10), usuário local "foo":

    //172.17.10.1/write-only      /mnt/write      cifs    user=smbwrite,pass=s3kr1t,uid=foo,vers=3.0 0 0

    smread (172.17.10.20), usuário local "bar":

    //172.17.10.1/read-only /mnt/read cifs user=smbread,pass=s3kr1t,uid=bar,vers=3.0 0 0
    • 1

relate perguntas