Toon posts:

Read-only mounten behalve voor root

Pagina: 1
Acties:

Onderwerpen

Mount

maandag 3 januari 2011 14:33

Acties:
  • 0 Henk 'm!
  • dtech
  • Registratie: Juni 2005
  • Laatst online: 13-06 23:19

dtech

Topicstarter
Ik backup op dit moment een server met een scriptje dat rsync'ed naar een backupschijf.

Nadeel is echter dat de backups nu writeable zijn, waar ik pijnlijk achter kwam doordat een automatisch deface scriptje alle index.php's writable door www-data verving.

Om zulke scenario's te voorkomen wil ik de backups dus write-only maken. Daar kon ik een aantal dingen voor bedenken:
  1. Tarren i.p.v. hardlinks
  2. chmodden
  3. Read-only mounten en in het script unmounten, remounten (rw), unmounten en weer remounten (ro).
  4. Schijf enkel beschrijfbaar maken door cron/root
1 is niet echt handig, omdat ik soms losse files nodig heb en geen zin heb om elke keer te untarren. 2 is ook niet handig omdat ik files wil kunnen terugzetten met exact dezelfde chmod-informatie, en niet opeens alles writable of un-writable.
3 is natuurlijk doable, maar is ook niet super-handig, aangezien ik ook wel eens op de backup schijf wil schrijven (oude backups verwijderen bijv.)

Het liefst wil ik de schijf dus zo instellen dat enkel root er naar kan schrijven. Ik kan echter niet goed vinden hoe dat kan met behoud van de goede user/group informatie. Is dat mogelijk of is 3 de enige optie?

maandag 3 januari 2011 15:01

Acties:
  • 0 Henk 'm!

Verwijderd

Ik zou een user aanmaken waarmee jij niet kan inloggen maar wel met sudo het recht krijgt om te kopiëren.

maandag 3 januari 2011 15:42

Acties:
  • 0 Henk 'm!
  • Gratzip
  • Registratie: Oktober 2010
  • Laatst online: 26-09-2020

Gratzip

Ja nieuwe gebruiker aanmaken en dan een combinatie van chown en chmod, zoiets zou ik doen.
chown root:root <iets>
chmod u+r <hetzelfde iets>
(uit mijn hoofd)

maandag 3 januari 2011 15:53

Acties:
  • 0 Henk 'm!
  • swbr
  • Registratie: Maart 2009
  • Laatst online: 16:32

swbr

Zorg dat die backupschijf offsite staat en doe een rsync over ssh.

If you try and take a cat apart to see how it works, the first thing you have on your hands is a non-working cat. -DNA

maandag 3 januari 2011 16:08

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 22:42

Kees

Serveradmin / BOFH / DoC
of zet maak de dir waarin de backups staan van root, en chmod hem naar 700

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 3 januari 2011 17:00

Acties:
  • 0 Henk 'm!
  • Rainmaker
  • Registratie: Augustus 2000
  • Laatst online: 14-07-2024

Rainmaker

RHCDS

Niet nodig, je kan aan rsync direct de --chmod optie meegeven, die de permissies van de source overschrijft.

We are pentium of borg. Division is futile. You will be approximated.

maandag 3 januari 2011 17:14

Acties:
  • 0 Henk 'm!
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 05-09 17:21

deadinspace

The what goes where now?

Rainmaker schreef op maandag 03 januari 2011 @ 17:00:
Niet nodig, je kan aan rsync direct de --chmod optie meegeven, die de permissies van de source overschrijft.
Dat zou ik afraden; je wil graag de originele permissies op backups. Backups gaan over meer dan alleen de inhoud van files ;)

Ik ga met Kees' advies mee. Eenvoudig maar voldoende.

maandag 3 januari 2011 17:25

Acties:
  • 0 Henk 'm!
  • Rainmaker
  • Registratie: Augustus 2000
  • Laatst online: 14-07-2024

Rainmaker

RHCDS

Eens, maar aan de andere kant wil je de schijf eigenlijk ook ge-umount of read-only hebben na de backup.

Anders kun je nog steeds met een rm -rf / alles om zeep helpen, inclusief je backups.

We are pentium of borg. Division is futile. You will be approximated.

maandag 3 januari 2011 19:46

Acties:
  • 0 Henk 'm!
  • dtech
  • Registratie: Juni 2005
  • Laatst online: 13-06 23:19

dtech

Topicstarter
@Rainmaker
natuurlijk, dat is slechts een speciaal geval van dat backups niet beschrijfbaar moeten zijn

@Kees
Maar dan kunnen de individuele files toch nog steeds aangepast worden? De specifieke map waar de backups in staan staan inderdaad op 770 root:root

@Antaresje
gelijk heb je, maar daar is op dit moment geen mogelijkheid voor (aangezien we geen offsite locatie met voldoende snelheid voor de backups hebben)

dinsdag 4 januari 2011 09:58

Acties:
  • 0 Henk 'm!
  • H!GHGuY
  • Registratie: December 2002
  • Niet online

H!GHGuY

Try and take over the world...

dtech schreef op maandag 03 januari 2011 @ 19:46:
@Kees
Maar dan kunnen de individuele files toch nog steeds aangepast worden? De specifieke map waar de backups in staan staan inderdaad op 770 root:root
tenzij je nog users in group "root" hebt kunnen externe users er niet aan.
Het probleem is echter dat als je hardlinks gebruikt en de originele file is wel accessible dan kan er alsnog vanalles mee gebeuren. Hardlinks zijn geen goed backup mechanisme. (Of begrijp ik dit verkeerd uit je openingspost?)

ASSUME makes an ASS out of U and ME

dinsdag 4 januari 2011 12:06

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

H!GHGuY schreef op dinsdag 04 januari 2011 @ 09:58:
[...]


tenzij je nog users in group "root" hebt kunnen externe users er niet aan.
Het probleem is echter dat als je hardlinks gebruikt en de originele file is wel accessible dan kan er alsnog vanalles mee gebeuren. Hardlinks zijn geen goed backup mechanisme. (Of begrijp ik dit verkeerd uit je openingspost?)
Hardlinks worden hier gebruikt om de backup in 't fs toch incremental te maken.

Met kees, verder.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 4 januari 2011 12:49

Acties:
  • 0 Henk 'm!
  • dtech
  • Registratie: Juni 2005
  • Laatst online: 13-06 23:19

dtech

Topicstarter
De backup map is 770 root:root, de files eronder niet. Kunnen mensen dan niet alsnog bij die files?

Inderdaad, 't is een optie van rsync: als de vorige backup een identieke file bevat wordt de file niet gekopiëerd maar wordt er een hardlink naar de file (van de vorige backup) gemaakt. Spaart ruimte terwijl je toch alle files in elke backup hebt. Op het moment dat een file veranderd wordt hij natuurlijk wel gekopieerd i.p.v. gehardlinkt en gewijzigd o.i.d.

[ Voor 13% gewijzigd door dtech op 04-01-2011 12:54 ]

dinsdag 4 januari 2011 15:29

Acties:
  • 0 Henk 'm!
  • H!GHGuY
  • Registratie: December 2002
  • Niet online

H!GHGuY

Try and take over the world...

dtech schreef op dinsdag 04 januari 2011 @ 12:49:
De backup map is 770 root:root, de files eronder niet. Kunnen mensen dan niet alsnog bij die files?
Nee. Zolang anderen geen read/execute rechten hebben op de dir, kunnen ze niet in de backup map.

ASSUME makes an ASS out of U and ME

donderdag 6 januari 2011 17:35

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 21:28

CAPSLOCK2000

zie teletekst pagina 888

Je zou eens kunnen kijken naar SELinux, al voelt dat een beetje als overkill.

Ik zou zelf voor optie 3 kiezen en het voor lief nemen dat ik een extra handeling moet doen voor ik dingen kan deleten, zo vaak zal dat toch niet voorkomen dat je backups handmatig opruimt.
Ik zie die extra handeling (rw mounten) alleen maar als een extra beveiliging.
Ik zou dan wel zorgen dat de boel automatisch weer op ro wordt gezet na een paar uur zodat er geen rampen gebeuren als je zou vergeten om ro weer aan te zetten.

This post is warranted for the full amount you paid me for it.

donderdag 6 januari 2011 17:40

Acties:
  • 0 Henk 'm!
  • u_nix_we_all
  • Registratie: Augustus 2002
  • Niet online

u_nix_we_all

Waarom uberhaupt je backups nog (ro) mounten ? Waarom niet alleen mounten als hij nodig is, voor het maken van backups, (en eventueel restoren,) en voor de rest die disk gewoon niet mounten :?

You don't need a parachute to go skydiving. You need a parachute to go skydiving twice.

donderdag 6 januari 2011 17:54

Acties:
  • 0 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 21:28

CAPSLOCK2000

zie teletekst pagina 888

TS wil graag zijn backups online hebben zodat hij makkelijk losse files kan terugzetten.

This post is warranted for the full amount you paid me for it.

donderdag 6 januari 2011 18:05

Acties:
  • 0 Henk 'm!
  • leuk_he
  • Registratie: Augustus 2000
  • Laatst online: 15-07 15:35

leuk_he

1. Controleer de kabel!

Zelf nooit geprobeerd, maar zou je disk quota daar niet voor kunnen misbruiken, zodat gebruikers geen quota meer over hebben , maar root wel?


Meer geeigend is dat je een schijft op een lvm die een snapshot heeft, en dat je voor de gebruiker een RO snapshot mount en voor de root een andere snapshot die not wel writable is.

[ Voor 39% gewijzigd door leuk_he op 06-01-2011 18:06 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

donderdag 6 januari 2011 23:45

Acties:
  • 0 Henk 'm!
  • dtech
  • Registratie: Juni 2005
  • Laatst online: 13-06 23:19

dtech

Topicstarter
Bedankt voor alle hulp, en wat Kees zij werkt inderdaad.

Ik wist niet dat je r?x rechten nodig had op alle mappen in de tree dus dan kun je inderdaad niet meer bij de backupfiles als de hoofd-backup map root:root 770 is :)

@leuk_he
Inderdaad grappig idee, maar volgens mij kan je nog wel files bewerken/verwijderen ook als je over je quota heen bent

@u_nix_we_all
We moeten inderdaad regelmatig bij de backupfiles, omdat er een heleboel leken van de server gebruik maken en dan nog wel eens wat kapot maken (laatst had een admin per ongeluk een mailinglijst verwijdert per ongeluk). Alleen mounten wanneer nodig is natuurlijk wel het veiligst, maar zo werkt het ook :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq