Как предотвратить доступ к размонтированной точке монтирования
Реальное требование здесь, чтобы Bob нуждался в ssh доступе к machine2, но не мог достигнуть его непосредственно, потому что это находится позади брандмауэра? Если так, самое чистое решение состоит в том, чтобы, вероятно, портировать вперед порт на server1 к ssh порту (22) на server2, который можно сделать с iptables, см. http://www.debian-administration.org/articles/73. Затем пользователь может
ssh -p server1
войти в server2.
Если Вы действительно хотите вынудить людей, входящих в систему server1 перейти прямо к server2, могло бы быть возможно установить оболочку соответствующего пользователя на server1 к сценарию, который выполняет "ssh server2" однако, пользователь закончит тем, что имел необходимость ввести пароль дважды (если Вы будете использовать пароли) - однажды для server1 и снова для server2 - и необходимо было бы также стараться заблокировать вниз сервер SSH на server1 для предотвращения пользователя, делающего перенаправление портов и т.д. через него (который можно сделать с доступом SSH независимо от того, что оболочка установлена на).
Другой вариант - сделать каталог неизменяемым. Для этого вам нужно выполнить следующую команду с отключенной точкой монтирования.
chattr + i / backups
Я делаю это в любом каталоге, который предназначен только как точка монтирования, чтобы предотвратить подобные вещи. Потому что есть ситуации, когда вы не можете добавить проверку, чтобы увидеть, смонтировано ли что-то. Например, если процесс не является сценарием, который вы контролируете, или это человек, который генерирует или перемещает данные. Такой подход предотвратит запись нежелательных данных в несмонтированную точку монтирования в таких ситуациях. Я бы все же добавил проверку монтирования в ваши сценарии, чтобы вы могли выводить значимые ошибки.
chattr + i / backups
Я делаю это в любом каталоге, который предназначен только как точка монтирования, чтобы предотвратить подобные вещи. Потому что есть ситуации, когда вы не можете добавить проверку, чтобы увидеть, смонтировано ли что-то. Например, если процесс не является сценарием, который вы контролируете, или это человек, который генерирует или перемещает данные. Такой подход предотвратит запись нежелательных данных в несмонтированную точку монтирования в таких ситуациях. Я бы все же добавил проверку монтирования в ваши сценарии, чтобы вы могли выводить значимые ошибки.
chattr + i / backups
Я делаю это в любом каталоге, который предназначен только как точка монтирования, чтобы предотвратить подобные вещи. Потому что есть ситуации, когда вы не можете добавить проверку, чтобы увидеть, смонтировано ли что-то. Например, если процесс не является сценарием, который вы контролируете, или это человек, который генерирует или перемещает данные. Такой подход предотвратит запись нежелательных данных в несмонтированную точку монтирования в таких ситуациях. Я бы все же добавил проверку монтирования в ваши сценарии, чтобы вы могли выводить значимые ошибки.
ta скрипт, которым вы управляете, или это человек, который генерирует или перемещает данные. Такой подход предотвратит запись нежелательных данных в несмонтированную точку монтирования в таких ситуациях. Я бы все же добавил проверку монтирования в ваши сценарии, чтобы вы могли выводить значимые ошибки. ta скрипт, которым вы управляете, или это человек, который генерирует или перемещает данные. Такой подход предотвратит запись нежелательных данных в несмонтированную точку монтирования в таких ситуациях. Я бы все же добавил проверку монтирования в ваши сценарии, чтобы вы могли выводить значимые ошибки.Почему бы просто не проверить сценарий резервного копирования, смонтирован ли / backups, и выйти, если нет?
mount | grep -q /backups || exit 1
Самый простой способ справиться с этим. ... напрямую с rsnapshot.
Вам следует посмотреть на параметр no_create_root
HTH