我将允许服务器 A由服务器 B备份,而不允许任何服务器修改另一台服务器。
非 root 用户 zfsbackup @ server A只允许使用 zfs send:
# serverA: /etc/sudoers.d/zfsbackup
zfsbackup ALL = (root) NOPASSWD: /sbin/zfs send *
这使得服务器 B可以像这样执行服务器 A的备份:
root@serverB~:# ssh zfsbackup@serverA sudo zfs send -i tank/vol@yesterday tank/vol@today | zfs receive tank/vol
问题是:
恶意用户可以使用该
zfs send *命令造成任何损害吗?或者这个命令是完全只读的?
虽然该
zfs send命令不会修改文件系统的内容,但恶意用户仍然有可能通过使文件系统(有时甚至是网络)饱和来使用它来对您的系统进行 DoS,具体取决于他们选择的邪恶程度。