У меня есть сервер Linux (Ubuntu 16.04), на котором примерно 30 пользователей входят в систему с доступом к оболочке. Существуют различные настройки групп, которые управляют их доступом к папкам в / opt / working / shared /.
/ opt / working / shared ежедневно копируется в / opt / backup / working / shared, общий ресурс, подключенный к NFS с NAS. Для них создаются резервные копии с теми же разрешениями, что и для исходных файлов, но пользователи не получают доступа к / opt / backup. Это не позволяет пользователям просматривать общий ресурс, но позволяет восстановить исходные разрешения.
Меня попросили предоставить этим пользователям доступ только для чтения к области резервного копирования. Мне интересно, как лучше всего подойти к этому?
Если я разрешаю им доступ к / opt / backup в его нынешнем виде, они будут иметь доступ на запись к любому файлу, к которому у них есть доступ на запись в / opt / working / shared, но удаление доступа на запись к этим файлам перезапишет исходные разрешения и усложнит к восстановлению.
Есть ли хороший способ, возможно, предоставить доступ только для чтения к каталогам резервных копий для пользователей, не имеющих sudo'd, при этом сохраняя исходные разрешения группы? Это сохранит исходную структуру разрешений и не позволит пользователям видеть файлы других людей, но не позволит пользователям перезаписывать свои собственные резервные копии. Я считаю, что есть лучший способ справиться с этим, а не изменять разрешения, но я могу ошибаться.
Минимальным и тривиальным решением было бы смонтировать тот же общий ресурс NFS второй время:
ro"опция монтирования для принудительного выполнения операций только для чтенияТаким образом, вам не нужно ничего менять в том, как создаются ваши существующие резервные копии, никаких сложных трюков с разрешениями и т. Д.