ネットワーク上の一部のコンピュータに対して自動バックアップジョブを設定しています。rsync他のすべてのコンピュータをバックアップするために毎日コマンドを実行するサーバーがあります。私はタスクを実行しているユーザーがrsync誰のホームディレクトリ(暗号化されたSSHキーなどの機密ファイルも含む)を読むことができますが、システムのどこにも書き込めないようにしたいと思います(該当するものを除く/tmp)。また、通常のユーザーがお互いのホームディレクトリ、特に機密性の高い部分を読むのを防ぎたいと思います。
最初に考えたのは、バックアップユーザーだけで構成されたグループを作成することでした。次に、chgrpユーザーのファイルをバックアップグループに保存します。私はメンバーではないので、お互いのファイルを読むことはできませんが、バックアップユーザーはバックアップしたいすべてのコンテンツを読むことができます。
ただし、ユーザーはchgrp自分が属していないグループに参加できません。ユーザーが互いのホームディレクトリを読み取ることができるため、グループに追加することはできません。
NOPASSWDsudoersバックアップユーザーにrootとして必要な正確なコマンドのみを実行できるエントリをファイルに提供することを検討しましたが、rsync正しく設定しないと災害になる可能性があります(方法がある場合)。シンボリックリンクの生成) たとえば、to コマンドと/etc/sudoersto get コマンドを使用すると、ターゲットとして使用できます。rsync
ベストアンサー1
TL,DR: ルートとしてバックアップを実行します。rsyncパラメータを再確認する限り、sudoを介して正確なコマンドを承認することに問題はありません。呼び出し元がパラメータを指定できるようにすることは問題です。
バックアップユーザーがファイルを読み取れるようにするには、以下を参照してください。ユーザーが他のユーザーのホームディレクトリを読むことを許可するアイデアはファイルシステムバインディングこのユーザーは、すべてのコンテンツのファイルシステムビューを読むことができます。
ただし、ファイルレベルは、この特定の問題を解決するのに最適なレベルではありません。バックアップの問題rsyncは一貫性がないことです。ユーザーが変更した場合file1 それから file2バックアップは進行中ですが、バックアップが到着するfile2前に、file1バックアップには古いバージョンfile2と新しいバージョンの両方が含まれますfile1。file2新しいバージョンで削除されたfile1場合、file1ファイルはバックアップにまったく表示されないことを意味し、これは確かに良いことではありません。
この問題に対する解決策は、次のものを作成することです。スナップ写真ファイルシステムのファイルシステムを選択し、ここからバックアップを実行します。
スナップショット技術によっては、ユーザーがスナップショットを読むことを可能にする方法があります。そうでない場合は、スナップショットをマウントし、汎用ファイルシステムベースのソリューションを使用してください。それでも、通常のユーザーとして実行すると所有権をバックアップできないため、rsyncにはまだ問題があります。したがって、複数のユーザーのディレクトリをバックアップするには必要バックアップをrootとして実行します。