Дайте користувачеві дозволи на всі файли та папки

Я хочу мати користувача, який має доступ до всіх файлів і папок у системі. Це призначено для використання RSYNC на локальній машині для резервного копіювання віддаленої машини.

На даний момент ми використовуємо користувача, backupsі хоча ми додали цього користувача до груп, sudoі adminrsync все ще повертає повідомлення типу:

rsync: opendir "/ location / to / folder" не вдалося: Дозвіл відхилено (13)

rsync: send_files не вдалося відкрити "/ location / to / file": Дозвіл відхилено (13)

Будь-яка ідея, як ми даємо користувачеві backupsдозвіл на доступ до всього (крім додавання користувача до всіх груп коли-небудь - віддалений сервер, який ми намагаємось зробити резервну копію, - це виділений сервер хостингу, де кожен обліковий запис має свого користувача в системі).

Дякуємо за будь-яку допомогу.

Просто додавання користувача backupsдо групи користувачів sudoавтоматично не надає обліковому запису доступ до всіх файлів у системі. Це дає користувачеві дозвіл на виконання sudoкоманди.

Оскільки ви використовуєте автентифікацію відкритих ключів (імовірно, без парольної фрази), я б підійшов до цього з урахуванням безпеки та простоти реалізації. Використання sshдозволяє обмежити користувача виконувати лише дуже конкретні команди. У цьому випадку ви можете дозволити користувачу backupsвиконувати rsyncз правами суперпользователя.

Ви вже здійснили обмін ключами і перевірена автентифікація пройшла успішно. У authorized_keysфайлі на віддаленому хості, /homeз якого ви створюєте резервну копію каталогу, ви можете додати command=директиву до ключа, який використовує користувач backups. Ця директива дозволить виконувати цю команду лише тоді , коли цей ключ використовується для автентифікації. Отже, перше поле ключа буде схожим на це:

command="/path/to/sudo /path/to/rsync -az /home /local/folder" ssh-rsa AAAAB3NzaC1yblahblahblah

Ви можете піти ще далі і додати більше параметрів до клавіші, наприклад from=myhost,no-pty,no-X11-forwarding.

Це має забезпечити вам гідну безпеку та не вимагати від вас змін до базових дозволів файлової системи. Можливо, вам буде потрібно грати з командою, яку ви розміщуєте у authorized_keysфайлі, поки вона не працює так, як ви очікували; може знадобитися трохи, щоб обернути ваш мозок навколо нього. Команда, зазначена у authorized_keysзаповіті, в основному замінить rsyncпараметри, які ви передасте з з'єднувального хоста.

Багато хорошої інформації в man sshd. Ви хочете спеціально прочитати розділ AUTHORIZED_KEYS FORMAT.

Один із варіантів - запустити сервер rsync у віддаленій системі.

В основному, створити rsync.confз uid=rootпотім використання rsync -az rsync://domain.com.

Див. Http://pastebin.com/5hQx1mRV для прикладу, який написав інший та Налаштування демона rsync для деяких основ включення сервера в Ubuntu.

Зауважте, що ви повинні врахувати безпеку цього. Кращий підхід - це, мабуть, змусити віддалену систему перейти до вашої локальної системи.

Можливо, ви можете використовувати ACL, якщо основна файлова система підтримує його.

Ви повинні додати групове резервне копіювання в ACL кожного файлу та каталогу. Але для автоматичного додавання для новостворених файлів і каталогів слід спочатку встановити ACL за замовчуванням для всіх існуючих каталогів. Отже, на віддаленому сервері:

sudo find /home -type d -print0 | xargs -0 setfacl -d -m group:backup:r-x

Тоді ви повинні мати дозвіл rx на всі існуючі каталоги та читати файли. Це можна зробити за допомогою двох команд (без цього -d цього разу)

sudo setfacl -R -m group:backup:r-- /home
sudo find /home -type d -print0 | xargs -0 setfacl -m group:backup:r-x

Це дасть вам додатковий дозвіл на читання файлів до групової резервної копії без зміни існуючого користувача та групи, яка володіє кожним файлом.

Примітка: для прискорення знаходження | Команда xargs Ви можете додати наступну опцію до команди xargs: -P nз n числом паралельного процесу. Ви можете встановити його на кількість процесорних процесорів у вашій машині + 1.