Назад | Перейти на главную страницу

Создать пользователя с разрешением только на чтение для хранилища данных, но с доступом по SSH

Я пишу сценарий резервного копирования, в котором удаленный компьютер подключается к хосту ESXi 5 и выполняет SCP для копирования файлов в другое хранилище данных на этом хосте.

В качестве меры предосторожности (поскольку каждый сценарий, который может пойти не так, будет ошибаться), я хочу, чтобы этот сценарий не мог удалять / перемещать / rm файлы в одном хранилище данных.

Можно ли создать пользователя с разрешением ТОЛЬКО ДЛЯ ЧТЕНИЯ к одному хранилищу данных, но с разрешением RW к другому?

Я бы сказал, не делайте этого напрямую на хосте. Интерфейс SSH ESXi на самом деле не предназначен для такого рода вещей, и если оставить службу и оболочку включенными, то на клиентах всегда будут появляться сигналы тревоги и предупреждения. Да, эти будильники можно отключить, но они есть не зря.

Подход, который я выберу, зависит от системы, в которой вы планируете делать резервную копию.

Если это Windows, я бы написал несколько сценариев PowerCLI и таким образом получил бы доступ к серверу. В PowerCLI есть команды, созданные для такого рода вещей, и они могут делать почти все, о чем вы можете подумать.

Если это Linux, есть модули Perl, которые должны позволить то же самое, с небольшим количеством взлома.

Некоторые из них предполагают, что это не просто отдельный автономный хост ESXi, и что вы можете использовать vCenter, чтобы предоставить конкретному пользователю некоторые детализированные разрешения для выполнения только этих задач.

Я не совсем помню, какая модель разрешений настроена на автономных хостах, но подозреваю, что вы можете создать пользователя и делать то же самое. По крайней мере, в этом случае у вас не будет (возможно) запущенного сценария оболочки на вашем ESXi-сервере.