autowiz | 안녕하세요 | 00:58 |
---|---|---|
autowiz | bacula 설정중에 문득 그런 생각이 들었습니다. | 02:39 |
autowiz | bacula-fd 가 루트 권한으로 동작하는게 기본값인데 이렇게 되면 OS 의 모든 파일들을 선택적으로 백업 할 수 는 있지만 . 특정디렉토리만 백업 하고 다른 디렉토리는 보안 차원에서 읽기 쓰기를 못하게 할 수 가 없더라구요 . | 02:41 |
autowiz | /etc/bacula/bacula-fd.conf 에서 특정 디렉토리에 대한 작업만 allow 할 수 있으면 좋겠다는 생각이 들었습니다. | 02:41 |
ircCloud^Seony | 안녕하세요 | 03:57 |
ircCloud^Seony | autowiz: 다시 말해서, bacula-fd가 슈퍼유저가 아닌 일반 유저로서 접근권한이 제한되었으면 하신다는 말씀이죠? | 03:58 |
ircCloud^Seony | 그거, bacula-fd가 실행될 때 어떤 유저로 실행되게할 건지 하는 옵션이 있어요. 아마 buser = 'bacula'인가 그럴 겁니다. | 04:02 |
ircCloud^Seony | 근데, 특정 디렉토리만 백업하게 할 수 있는데, 무슨 말씀인지 이해가 잘 안가네요 | 04:06 |
autowiz | 제한이야 할려면 할 수 있겠지만서두 | 04:09 |
autowiz | 그렇게 되면 제한한 그 권한으로 백업 할려는 곳에 엑세스 할 수 있게 따로 설정을 해야되긴 하지요. | 04:10 |
autowiz | 제가 궁극적으로 원하는건 bacula-fd 에서 접근권한 을 디렉토리별로 설정할 수 있으면 참 좋겠다는건데 | 04:10 |
autowiz | 9.x 버젼은 acl 이 좀 늘었다고는 하더라구요. | 04:10 |
ircCloud^Seony | bacula의 접근권한을 제한하시려는 의도가 잘 이해가 안가요 | 04:11 |
ircCloud^Seony | bacula-dir이 해킹당한 상황을 우려하시는 건가요? | 04:11 |
ircCloud^Seony | 제 경험으로 봤을 때 bacula는 모든 디렉토리의 접근이 가능해야 백업이 수월하고, 또 그게 맞다고 생각하거든요... 재난대비 백업용도로도 그렇구요... | 04:12 |
autowiz | 네 그렇긴 합니다. fd 돌아가는 클라이언트가 바큘라 비번 하나로 rw 권한이 풀로 열려버리니까요ㅜㅜ | 04:12 |
ircCloud^Seony | 아... 그 점에 대해서 솔루션을 드리자면요... | 04:12 |
ircCloud^Seony | 제가 관리하는 서버의 경우, | 04:12 |
autowiz | 백업 / 리스토어 입장에선 충분히 그렇긴 합니다 . | 04:12 |
ircCloud^Seony | dir-fd간의 hand-shaking을 ssl로 하고있어요 | 04:13 |
ircCloud^Seony | 그래서, 별도의 인증서를 만들어서 관리하고 있죠 | 04:13 |
autowiz | 저는 제 PC 들 백업 할려다 보니 그렇더라구요. 개발용 회사소스는 백업 하는게 당연한데 | 04:13 |
autowiz | 제 개인자료들은 아예 접근이 안됐으면 싶다 이런거지요. | 04:13 |
ircCloud^Seony | 아.... 무슨 말씀인지 인제 이해가 됐네요. 그러니까, | 04:13 |
ircCloud^Seony | dir을 제어하는 직원이, 클라이언트의 데이터를 맘대로 가져갈 수 있다는 점을 우려하시는 거죠? | 04:13 |
autowiz | 그러면서 설정 편의성 측면에서 bacula-fd 를 다른 유저로 실행시키는거보다 . 설정파일에서 설정을 할 수 있으면 더 좋겠다 싶은 생각이 들었습니다. ㅎㅎ | 04:14 |
autowiz | apparmor 로 막을 수 도 있을거같네요 | 04:14 |
autowiz | 네 정확합니다. 그런게 우려스럽습니다. | 04:14 |
ircCloud^Seony | 음... 저는 제 개인적인 자료는 encfs로 관리하거든요. 어쩌면 이 방법이 도움이 될지도 모르겠네요 | 04:14 |
autowiz | 암호화 시키시는거군요 | 04:15 |
ircCloud^Seony | encfs에 넣어놓고, 쓸 일이 있을 때만 마운트하고 볼일 다보면 언마운트하고... 그러면 아무리 bacula로 백업해도 소용이 없겠죠 | 04:15 |
ircCloud^Seony | 네 그렇죠... | 04:15 |
ircCloud^Seony | 어차피 업무용 컴퓨터야 대부분의 자료가 업무용이니까 상관없는데, 그 와중에서도 정말 개인적인 자료도 있긴 하니간요... | 04:15 |
autowiz | 사실 외장하드 , PC 하드 , USB 등에 대해서 FS 암호화 및 디렉토리/파일 수준 암호화를 귀찮아서 잘 안했는데 | 04:18 |
autowiz | 점점 일이 복잡해지고 커지다보니 해야 할 거 같습니다. | 04:18 |
ircCloud^Seony | 사실, 업무용 컴퓨터에는 개인자료를 안두는게 나아요 | 04:18 |
ircCloud^Seony | 회사에 관련된 개인자료처럼 어쩔 수 없는 경우는 encfs | 04:19 |
autowiz | 생각해보니 개인용 자료는 그렇다치고 다른직원이나 다른팀원이 보면 안되는 자료도 있을 수 있을거같습니다. 물론 백업서버가 안뚫리면 아무문제가 안되는거겠지만 . 아무래도 뭔가 다른 보호장치가 있으면 싶은 생각이 자꾸만 듭니다. | 04:26 |
ircCloud^Seony | 백업서버가 뚫린 상황이라면, 뭐 어떤 회사든 다 끝장난 상황 아닙니까 ㅋㅋ | 04:33 |
autowiz | 그렇지 말입니다 ㅠㅠ | 04:37 |
choi | sadf | 07:37 |
choi | asdf | 07:37 |
choi | 여기에다가 질문 여쭤봐도되나요 | 07:37 |
autowiz | 네 그렇습니다~ | 07:37 |
choi | centos 6.5고 메일서버 설정하는데 문제가조금 있는거같아서요 | 07:38 |
choi | 네임서버 & 메일서버는 동일하게 잡아줬고 | 07:38 |
choi | 로컬에서 해당 vm으로 nslookup domain.co.kr 하면 핑잘나가는데 | 07:38 |
choi | naver같은 외부에서 메일을보내면 Sorry, I couldn't find any host by that name | 07:39 |
choi | 라고 메일 튕겨내는데 혹시 확인해봐야할곳 있을까요 | 07:39 |
autowiz | 도메인은 정식으로 사신거겠지요? | 07:50 |
autowiz | 실례지만 도메인을 여쭤봐도 될까요? 개인 쿼리로 주셔도 됩니다. | 07:50 |
choi | 아 아뇨 | 07:53 |
choi | 원래 윈서버에서 | 07:53 |
choi | 리눅스로 이전하면서 메일서버를 sendmail로 바꾸는거 테스트중이예요 | 07:53 |
autowiz | 외부메일에서 메일 보내는경우라고 말씀하셔서요 으음. | 07:54 |
choi | 아 ......... | 07:54 |
choi | 제가 큰실수를했네요;;;; | 07:54 |
choi | 감사합니다 .... 흑흑 | 07:55 |
autowiz | 적어주신 naver 같은 외부에서 튕겨내는건 도메인에 대한 ip 를 못찾아서 그런걱같거든요 | 07:55 |
choi | 아 창피하네요 정신이없었나봅니다 | 07:55 |
choi | 혹시 하나만더 여쭤봐도될까요 ? | 07:55 |
choi | 아웃룩에서 계정연동할때 | 07:56 |
choi | 계정 설정에서 테스트메일은 서버에서 받는데 | 07:56 |
choi | smtp 인증?이 계속 튕기고있어요 | 07:57 |
autowiz | 보내는게 안된다는 말씀이시군요 pop 이나 imap 은 되시는거구요 | 07:58 |
autowiz | 서버쪽에서 smtp 쪽 설정을 더 보셔야 할 수 있습니다. smtp 는 잘못 설정되면 스팸메일 서버가 될 수 있어서 설정을 잘 하셔야 합니다. | 07:59 |
autowiz | 서버는 어떤 서버를 쓰고 계시는지요? | 08:00 |
choi | 센토스 6.5요 | 08:01 |
autowiz | sendmail 로 구성하신거 일 수 있겠네요 | 08:01 |
choi | 네 sendmail인데 | 08:01 |
autowiz | 사용자 정보는 OS 계정으로 하신건가요? 아니면 DB 를 이용하시는건가요? | 08:01 |
choi | os로하고 | 08:02 |
choi | virtusertable? | 08:02 |
choi | 도 설정한거같아요 | 08:02 |
autowiz | 메일 어카운트 개수가 적으면 OS 계정으로 히기도 하는데 많아지면 DB 로 가는게 훨 이득이구요 | 08:02 |
choi | 일단 아는게 없어서 많이 힘드네요 | 08:03 |
autowiz | 사실 적어도 DB 가는게 보안상 좋습니다. sendmail 로그를 디버르 레벨을 더 높여보신다거나 | 08:03 |
autowiz | 아무튼 로그를 잘 보셔야 할거 같습니다. | 08:03 |
autowiz | 손으로 telnet 터미널로 ehlo 등등 smtp 명령으로 디버깅 해보는 방법이 있는데 | 08:04 |
autowiz | base64 인코딩을 해야하는 번거로움이 있긴 합니다. 만약 이방법을 쓰시려면 정상동작하는 서버에서 테스트 해보신 후 테스트 해보시길 권해 드립니다. | 08:05 |
choi | 아 감사합니다 아직 되진 않는데 아까보다 많이 발전했어요 정말감사드립니다 | 08:38 |
razGon_JJSpring | 모닝요 | 23:28 |
Generated by irclog2html.py 2.7 by Marius Gedminas - find it at mg.pov.lt!