我有一个带有 1 个目的地的简单时间机器服务器配置。用户在 Open Directory 中定义(但将备份到 TMS 的机器不通过 Open Directory 登录)。
更新信息:每个用户都有自己的机器,并且是自己机器上的管理员。他们将使用自己的 Open Directory 用户名和密码登录 Time Machine 服务器。不会使用 TM 备份的加密。
鉴于此配置,在 OS X Server (Mountain Lion) 上使用 Time Machine Server 时每个用户的备份是否安全?
这取决于您所说的“每个用户”是什么意思。根据不同的用户,备份有两层安全性(如果启用备份加密,还有第三层)。当您将客户端配置为使用 Time Machine 备份到服务器时,您使用名称和密码向服务器进行身份验证。该客户端的备份作为磁盘映像存储在服务器上,文件权限设置为仅允许该用户(和 root)访问它。还可以选择对磁盘映像进行加密。在该映像中,备份文件的原始权限被复制,因此在客户端上,用户只能恢复他们通常有权访问的文件。让我更详细地(以不同的顺序)讨论这些并解释其含义:
客户端权限:如果您在客户端进入 Time Machine 的恢复模式,它会尊重备份文件的原始权限——登录到客户端的用户将无法检查或恢复他们没有的文件可以访问磁盘。但是,这些权限的执行是在客户端上进行的;如果有人在客户端上拥有管理员权限(或破坏安全性),他们将能够绕过备份中的权限(就像在客户端自己的磁盘上一样)。此外,如果有人可以直接访问服务器上的备份磁盘映像,他们可以以他们想要的任何模式安装它(例如,禁用文件所有权),并获得对备份的完全访问权限。
服务器上的权限:TM 服务基本上是 AFP 文件共享,添加了“用它来备份”广告。备份时,客户端使用记忆的用户名和密码挂载备份文件夹,然后在其中创建/挂载磁盘映像,并将文件存储到映像中。这里有几个安全隐患:
例如,如果 Joe 将他的计算机设置为使用他的服务器帐户进行备份,然后 Bill 也在 Joe 的计算机上创建一个帐户,Joe 将能够通过简单地安装共享备份文件夹,然后安装图像来获取 Bill 的备份文件禁用文件所有权。
Joe 的服务器密码存储在他计算机上的系统钥匙串中(以便它可以重新连接到服务器以进行备份)。这意味着任何对 Joe 的计算机具有管理员访问权限(合法或其他)的人都可以恢复他的服务器密码。
因此,我倾向于建议用于 Time Machine 的服务器帐户不应该是普通用户帐户,而是一个单独的每台计算机帐户,仅用于备份(最好仅限于 Time Machine 和服务访问中的文件共享控制),并且当然不会与任何其他帐户共享密码。
如果用于 TM 的服务器帐户曾经更改过密码,则在使用新密码更新其系统钥匙串中的条目之前,客户端将无法备份或恢复文件。这是不使用普通用户帐户的另一个原因……
加密:如果在设置 TM 时启用了加密,则磁盘映像将被加密(除了基于服务器的文件权限)。加密密码也存储在客户端的系统钥匙串中,因此任何对客户端具有管理员访问权限的人都可以恢复它(同样,不要重复使用密码)。这确实意味着如果服务器的安全性遭到破坏,备份映像的内容将保持安全。但是,您应该确保加密密码被安全地记录和存储,因为如果客户端丢失或 HD 崩溃或……与服务器文件共享密码不同,无法重置或绕过此层的安全。
更新:根据添加的详细信息,是的,每个客户的备份都将根据他们的 Open Directory 帐户进行保护。注意事项:任何对服务器具有管理员访问权限的人都可以获取每个人的备份,并且 OD 帐户的密码将存储在客户端 Mac 的系统钥匙串中(任何对客户端具有管理员访问权限的人都可以恢复)。