Cấp quyền cho người dùng cho tất cả các tệp và thư mục

Tôi muốn có một người dùng có quyền truy cập vào tất cả các tệp và thư mục trên hệ thống. Điều này nhằm mục đích sử dụng RSYNC trên máy cục bộ để sao lưu máy từ xa.

Hiện tại chúng tôi đang sử dụng người dùng backupsvà mặc dù chúng tôi đã thêm người dùng này vào các nhóm sudovà adminrsync vẫn trả về các thông báo như:

rsync: opendir "/ location / to / thư mục" không thành công: Quyền bị từ chối (13)

rsync: send_files không thể mở "/ location / to / file": Quyền bị từ chối (13)

Mọi ý tưởng về cách chúng tôi cấp cho người dùng backupsquyền truy cập mọi thứ (thiếu người dùng thêm vào tất cả các nhóm - máy chủ từ xa mà chúng tôi đang cố gắng sao lưu là một máy chủ lưu trữ chuyên dụng trong đó mọi tài khoản đều có người dùng riêng trên hệ thống).

Cảm ơn vì bất kì sự giúp đỡ.

Chỉ cần thêm người dùng backupsvào nhóm người dùng sudosẽ không tự động cấp quyền truy cập tài khoản vào tất cả các tệp trên hệ thống. Nó cung cấp cho người dùng quyền để chạy sudolệnh.

Vì bạn đang sử dụng xác thực khóa công khai (có lẽ không có cụm mật khẩu), tôi sẽ tiếp cận vấn đề này với tính bảo mật và dễ thực hiện trong tâm trí. Sử dụng sshcho phép bạn hạn chế người dùng chỉ thực hiện các lệnh rất cụ thể. Trong trường hợp này, bạn có thể cho phép người dùng backupsthực thi rsyncvới quyền siêu người dùng.

Bạn đã thực hiện trao đổi khóa và xác thực được xác minh là thành công. Trong authorized_keystệp trên máy chủ từ xa mà bạn đang sao lưu /homethư mục từ đó, bạn có thể thêm một command=lệnh vào khóa được người dùng sử dụng backups. Lệnh này sẽ chỉ cho phép lệnh đó được chạy khi khóa đó được sử dụng để xác thực. Vì vậy, trường đầu tiên của khóa sẽ trông giống như thế này:

command="/path/to/sudo /path/to/rsync -az /home /local/folder" ssh-rsa AAAAB3NzaC1yblahblahblah

Bạn có thể đi xa hơn và thêm nhiều tùy chọn hơn vào khóa, chẳng hạn như from=myhost,no-pty,no-X11-forwarding.

Điều này sẽ cung cấp cho bạn bảo mật tốt và không yêu cầu bạn sửa đổi các quyền hệ thống tệp cơ bản. Bạn có thể sẽ cần chơi với lệnh mà bạn đặt trong authorized_keystệp cho đến khi nó hoạt động như bạn mong đợi; nó có thể mất một chút để bọc bộ não của bạn xung quanh nó. Lệnh được chỉ định trong authorized_keyscơ bản sẽ ghi đè các rsynctùy chọn bạn sẽ chuyển từ máy chủ kết nối.

Rất nhiều thông tin tốt trong man sshd. Bạn muốn đọc cụ thể phần AUTHORIZED_KEYS FORMAT.

Một tùy chọn là chạy máy chủ rsync trên hệ thống từ xa.

Về cơ bản, tạo một rsync.confvới uid=rootsau đó sử dụng rsync -az rsync://domain.com.

Xem http://pastebin.com/5hQx1mRV để biết ví dụ người khác đã viết và Định cấu hình trình nền rsync để biết một số điều cơ bản về việc bật máy chủ trong Ubuntu.

Lưu ý rằng bạn phải xem xét tính bảo mật của điều này. Một cách tiếp cận tốt hơn có lẽ là làm cho hệ thống từ xa đẩy đến hệ thống cục bộ của bạn.

Bạn có thể có thể sử dụng ACL nếu hệ thống tập tin cơ bản hỗ trợ nó.

Bạn nên thêm bản sao lưu nhóm trong ACL của mỗi tệp và thư mục. Nhưng để được thêm tự động cho tệp và thư mục mới được tạo, trước tiên bạn nên đặt ACL mặc định cho tất cả các thư mục hiện có. Vì vậy, trên máy chủ từ xa:

sudo find /home -type d -print0 | xargs -0 setfacl -d -m group:backup:r-x

Sau đó, bạn nên có quyền rx cho tất cả các thư mục hiện có và đọc cho các tập tin. Bạn có thể làm điều này với 2 lệnh (không có -d lần này)

sudo setfacl -R -m group:backup:r-- /home
sudo find /home -type d -print0 | xargs -0 setfacl -m group:backup:r-x

Điều này sẽ cung cấp cho bạn thêm quyền để đọc các tệp vào bản sao lưu nhóm mà không thay đổi người dùng và nhóm hiện có sở hữu từng tệp.

Lưu ý: để tăng tốc tìm kiếm | Lệnh xargs bạn có thể thêm tùy chọn sau vào lệnh xargs: -P nvới n số lượng quá trình song song. Bạn có thể đặt nó thành số cpu bạn có trên máy + 1.