указание сложных разрешений для файлов и папок в unix
На работе я руковожу группой, отвечающей за управление данными и безопасность. Нам необходимо указать сложные разрешения для файлов и папок, выходящие за рамки стандартного rwx пользователя / группы / мира. Исследования показывают, что это можно сделать с помощью расширенных атрибутов файлов (команды setfacl, getfacl) на файловых серверах, работающих под управлением NFSv4. Работающие файловые системы работают под управлением NFSv3. Всякий раз, когда я спрашиваю ИТ-группу о преобразовании, они всегда отвечают: «Это слишком медленно, слишком сложно, небезопасно или стабильно и т. Д.» Для обновления до NFSv4 без предоставления данных или сроков, подтверждающих утверждения. В результате мы создаем несколько копий данных, где в каталоге A есть файлы, которые может просматривать группа A, а в каталоге B есть файлы, которые может просматривать группа B.
Мне было интересно несколько вещей:
- верны ли утверждения? Сильно ли влияет на производительность преобразование из NFSv3 в NFSv4 с включенными расширенными атрибутами файлов? есть ли другие вопросы, которые стоит рассмотреть? например, я предполагаю, что некоторые приложения не могут быть закодированы для правильной интерпретации этих расширенных атрибутов файлов.
- Есть ли другое решение или метод для применения сложных разрешений помимо ACL в NFSv4?большинство работающих машин работают под управлением SLES11 или SLES12.
Благодарю за любую помощь или направление, которое вы можете предложить ... спасибо!
NFS 4 может быть намного безопаснее и, безусловно, стабильнее, доступен с 2003 года, насколько я помню. Есть и более новые версии, 4.1 и 4.2. Обновить довольно просто, если вы не активируете какие-либо дополнительные функции.
Производительность может быть немного выше на nfs 3 из-за использования udp & tcp; нфс 4 только тсп. Но на самом деле это не имеет большого значения для большинства сценариев. На самом деле это можно компенсировать, потому что в tcp при потере пакетов ретранслируются только эти потерянные пакеты, в отличие от udp. В nfs 4 также есть делегирование, которое может повысить производительность. Шифрование может сильно повлиять на производительность, но это выбор, использование более высоких стандартов безопасности в nfs 4 не обязательно, но при необходимости они доступны.
Я не могу сказать о несовместимости приложений, использующих nfs v4. Я использовал его для операций копирования-перемещения файлов и потокового видео без проблем.Не могу дать вам однозначного ответа на этот вопрос, хотя я думаю, что отсутствие альтернатив породило nfs v4. можно использовать SMB/CIFS; Я не считаю его нативной альтернативой, потому что это протокол Windows, но реализация UNIX/Linux превосходна. Хотя я полагаю, что реализовать его на серверах и клиентах Linux будет более сложной задачей, чем nfs v4.
Причиной, по которой ваша ИТ-команда не хочет переходить на версию 4, может быть совместимость и поддержка ОС: ее должны поддерживать и серверы, и клиенты. Возможно, есть более старые ОС, например SLES 11 без SP, которые не поддерживаются SuSE, и они предпочитают избегать изменения настроек на них.
Существует также возможность совместного использования с использованием как nfs v3, так и v4. Вы можете протестировать его в некоторых каталогах, прежде чем полностью переключиться на v4.