Архив форумов ЦИТФорума

[anthony]

Ну, файл сервер неплохо, я вот собираюсь его оставить на винде, а почту и домен и прочие мелкие сервисы на Линух перетскивать... Ты кстати не проверял, реально ли из виндовых GUI'ев права в шарах на Линухе (при XFS) выставлять?

[and3008]

XFS, хоть и вся из себя журналирумая, но не делает полноценных ACL-списков.
Поясню:
Имеем файлец. Его может читать Вася и Петя, а править его может только Коля.
Вот тут самое интересное. Оказывается XFS транслирует ACL к виду POSIX-ACL. Т.е. к тем самым Я-МЫ-Все.
Т.е. нельзя назначить как в Инте двех юзверей для чтения. Только одного.

Мдя... Я такого поворота событий не ожидал.

Ладно, теперь кино про Самбу.
Если пошарить каталог, то через вкладку безопасность можно у группы менять права доступа. Выбор не особо велик. Либо чтение, либо запись, либо и еще и выполнение, при этом получается автоматически "Полный доступ". Неожиданно, да?
При попытки добавить к списку доступа его одного юзверя, все вроде добавляется, но при нажатии на кнопку ОК, получаем мессагу "Нет доступа". Лезем в доки Самбы и читаем "включите nt acl support = yes", однако оно уже включено, по умолчанию, но где же оно? Не работает значит. Вот блин!
Ладно, запускаем самбу с log level = 9 и наблюдаем логи.
Там и видим, что при попытке добавить еще одного юзверя или группу POSIX лается, мол слишком много ACE. Я так понял ей не нравится, когда Вася-Коля-Группа-Все. Ей подавай либо Коля-Группа-Все, либо Вася-Группа-Все.

Блин!

Я в печали. Получается, что все эти заявки на ACL не более чем фикция и рядом с ACL от NTFS рядом не стояли.
Мля!

Может кто скажет где я не прав? Только огромная просьба, не говорить, что ACL - это плохо. У меня более 120 юзверей и доступы всякие разные, разнообразные. Кучу групп плодить не хочется, т.к. я через пару недель в них совсем запутаюсь на фиг.

Нужен совет именно по ACL.

Ждем-с.

[anthony]

Ну, вообще можно из группами, если малехо мозгами пораскинуть, хотя согласен, что геморой немеряный, а вот если юзера захотят через безопасность че-нить менять, то ваще песня невеселая.

Совет в принципе может быть один: юзай NTFS! ))

Знаю, звучит глупо после проделанной работе, но... Чисто теоретически можно хотя бы NTFS 4.0 к Линуху подрубить. Вроде где-то далеко и давно слышал о таком деле. Если потом ручками выставлять права - то вообще никаких проблем, а вот если через Самбу и безопасность, то хз...

[anthony]

Без использования NTFS (я говорю о 5-й версии) лишаешся сразу двух фич:
1. Шифрование
2. Сжатие данных
Хоть используются и редко, но все же вещи приятные.

[and3008]

Ну шифрование вообще на фиг пошло. На серваках это никто в трезвом уме делать не будет. Особенно на корпоративных серваках. Проще железную дверь в серверную за 2-3 тыс.баксов купить, чем за 7-10 процы и ОЗУ, которые смогут при большой нагрузке успевать шифровать/дешифровать.
Шафрование файловой системы - удел ноутбуков и некоторых рабочих станций. Вот там пусть и шифруется.

Сжатие тоже в сад. Проц нагружается, а если произошла потеря данных, то шансов что-то спасти - НУЛЬ! Не надо про резервное копирование говорить. Копируется. Но иметь еще один вариант спасения еще никому не вредил.

Сейчас IDE-шный винт на 40 гиг стоит 100 баксов. Проще винтов набить, чем со сжатием развлекаться.

NTFS в Линухе поддерживается только номинально. Драйвер находится в бетта-версии. Поддерживается чтение, но крайне не рекомендуется запись.
И еще. Какой-такой тулзой ты будешь выставлять права доступа в NTFS как в винде? Я таких прог под Линух не знаю.

Группы отпадают по определению. И не надо тут мозгами раскидывать. Управление только на основе групп - довольно убогое и негибкое управление.

Юзать W2K или WinNT 4.0 в качестве файлового сервера мне жутко не хочется. Глючно это. У меня высокие требования к готовности сервака, а эту виндузу надо раз в неделю патчить и перезагружать. Вот перезагрузка как раз и критична. Там круглые сутки пасется всякий разный народ. И днем и ночью.
Мдя...
Уже верьез подумываю на счет Солярки или какого другого комерческого UNIX-а. Но сдается мне, что и у них много всякого форса, а на поверку оказывается, что они меня не устроят.

В общем я думаю...

[anthony]

Ну, если сервак внутри офиса и в инете не доступен и используется ТОЛЬКО как файл сервер, то не думаю, что каждую неделю патчить/перегружать придется.

[and3008]

Напрасные мечты, дружок. Приносится ноутбук каким-нито дятлом, а на нем свежий троянчек или вирус а-ля нимбда или Сиркам и поперло...
Антивирус конечно на сервак можно поставить, но надо помнить, что он всегда на шаг позади.

[anthony]

-

[Dmitry.Karpov http://www.]

Чтобы доказать тезис, вынесенный в заголовок статьи, достаточно почитать книжку по инсталляции AVP под SendMail на FreeBSD. В этой книжке говорится о необходимости запуска программы /usr/sbin/exim, которой на FreeBSD нет.

Что касается ежедневных обновлений: вирус Klez недели две резвился прежде чем супруги Касперские удосужились как следует разобраться и научить своего антивируса бороться с этой заразой.

Никаких претензий там не принимают - раз ты уже заплатил им деньги, то им ты уже более не интересен.