[00:58] 안녕하세요 [02:39] bacula 설정중에 문득 그런 생각이 들었습니다. [02:41] bacula-fd 가 루트 권한으로 동작하는게 기본값인데 이렇게 되면 OS 의 모든 파일들을 선택적으로 백업 할 수 는 있지만 . 특정디렉토리만 백업 하고 다른 디렉토리는 보안 차원에서 읽기 쓰기를 못하게 할 수 가 없더라구요 . [02:41] /etc/bacula/bacula-fd.conf 에서 특정 디렉토리에 대한 작업만 allow 할 수 있으면 좋겠다는 생각이 들었습니다. [03:57] 안녕하세요 [03:58] autowiz: 다시 말해서, bacula-fd가 슈퍼유저가 아닌 일반 유저로서 접근권한이 제한되었으면 하신다는 말씀이죠? [04:02] 그거, bacula-fd가 실행될 때 어떤 유저로 실행되게할 건지 하는 옵션이 있어요. 아마 buser = 'bacula'인가 그럴 겁니다. [04:06] 근데, 특정 디렉토리만 백업하게 할 수 있는데, 무슨 말씀인지 이해가 잘 안가네요 [04:09] 제한이야 할려면 할 수 있겠지만서두 [04:10] 그렇게 되면 제한한 그 권한으로 백업 할려는 곳에 엑세스 할 수 있게 따로 설정을 해야되긴 하지요. [04:10] 제가 궁극적으로 원하는건 bacula-fd 에서 접근권한 을 디렉토리별로 설정할 수 있으면 참 좋겠다는건데 [04:10] 9.x 버젼은 acl 이 좀 늘었다고는 하더라구요. [04:11] bacula의 접근권한을 제한하시려는 의도가 잘 이해가 안가요 [04:11] bacula-dir이 해킹당한 상황을 우려하시는 건가요? [04:12] 제 경험으로 봤을 때 bacula는 모든 디렉토리의 접근이 가능해야 백업이 수월하고, 또 그게 맞다고 생각하거든요... 재난대비 백업용도로도 그렇구요... [04:12] 네 그렇긴 합니다. fd 돌아가는 클라이언트가 바큘라 비번 하나로 rw 권한이 풀로 열려버리니까요ㅜㅜ [04:12] 아... 그 점에 대해서 솔루션을 드리자면요... [04:12] 제가 관리하는 서버의 경우, [04:12] 백업 / 리스토어 입장에선 충분히 그렇긴 합니다 . [04:13] dir-fd간의 hand-shaking을 ssl로 하고있어요 [04:13] 그래서, 별도의 인증서를 만들어서 관리하고 있죠 [04:13] 저는 제 PC 들 백업 할려다 보니 그렇더라구요. 개발용 회사소스는 백업 하는게 당연한데 [04:13] 제 개인자료들은 아예 접근이 안됐으면 싶다 이런거지요. [04:13] 아.... 무슨 말씀인지 인제 이해가 됐네요. 그러니까, [04:13] dir을 제어하는 직원이, 클라이언트의 데이터를 맘대로 가져갈 수 있다는 점을 우려하시는 거죠? [04:14] 그러면서 설정 편의성 측면에서 bacula-fd 를 다른 유저로 실행시키는거보다 . 설정파일에서 설정을 할 수 있으면 더 좋겠다 싶은 생각이 들었습니다. ㅎㅎ [04:14] apparmor 로 막을 수 도 있을거같네요 [04:14] 네 정확합니다. 그런게 우려스럽습니다. [04:14] 음... 저는 제 개인적인 자료는 encfs로 관리하거든요. 어쩌면 이 방법이 도움이 될지도 모르겠네요 [04:15] 암호화 시키시는거군요 [04:15] encfs에 넣어놓고, 쓸 일이 있을 때만 마운트하고 볼일 다보면 언마운트하고... 그러면 아무리 bacula로 백업해도 소용이 없겠죠 [04:15] 네 그렇죠... [04:15] 어차피 업무용 컴퓨터야 대부분의 자료가 업무용이니까 상관없는데, 그 와중에서도 정말 개인적인 자료도 있긴 하니간요... [04:18] 사실 외장하드 , PC 하드 , USB 등에 대해서 FS 암호화 및 디렉토리/파일 수준 암호화를 귀찮아서 잘 안했는데 [04:18] 점점 일이 복잡해지고 커지다보니 해야 할 거 같습니다. [04:18] 사실, 업무용 컴퓨터에는 개인자료를 안두는게 나아요 [04:19] 회사에 관련된 개인자료처럼 어쩔 수 없는 경우는 encfs [04:26] 생각해보니 개인용 자료는 그렇다치고 다른직원이나 다른팀원이 보면 안되는 자료도 있을 수 있을거같습니다. 물론 백업서버가 안뚫리면 아무문제가 안되는거겠지만 . 아무래도 뭔가 다른 보호장치가 있으면 싶은 생각이 자꾸만 듭니다. [04:33] 백업서버가 뚫린 상황이라면, 뭐 어떤 회사든 다 끝장난 상황 아닙니까 ㅋㅋ [04:37] 그렇지 말입니다 ㅠㅠ [07:37] sadf [07:37] asdf [07:37] 여기에다가 질문 여쭤봐도되나요 [07:37] 네 그렇습니다~ [07:38] centos 6.5고 메일서버 설정하는데 문제가조금 있는거같아서요 [07:38] 네임서버 & 메일서버는 동일하게 잡아줬고 [07:38] 로컬에서 해당 vm으로 nslookup domain.co.kr 하면 핑잘나가는데 [07:39] naver같은 외부에서 메일을보내면 Sorry, I couldn't find any host by that name [07:39] 라고 메일 튕겨내는데 혹시 확인해봐야할곳 있을까요 [07:50] 도메인은 정식으로 사신거겠지요? [07:50] 실례지만 도메인을 여쭤봐도 될까요? 개인 쿼리로 주셔도 됩니다. [07:53] 아 아뇨 [07:53] 원래 윈서버에서 [07:53] 리눅스로 이전하면서 메일서버를 sendmail로 바꾸는거 테스트중이예요 [07:54] 외부메일에서 메일 보내는경우라고 말씀하셔서요 으음. [07:54] 아 ......... [07:54] 제가 큰실수를했네요;;;; [07:55] 감사합니다 .... 흑흑 [07:55] 적어주신 naver 같은 외부에서 튕겨내는건 도메인에 대한 ip 를 못찾아서 그런걱같거든요 [07:55] 아 창피하네요 정신이없었나봅니다 [07:55] 혹시 하나만더 여쭤봐도될까요 ? [07:56] 아웃룩에서 계정연동할때 [07:56] 계정 설정에서 테스트메일은 서버에서 받는데 [07:57] smtp 인증?이 계속 튕기고있어요 [07:58] 보내는게 안된다는 말씀이시군요 pop 이나 imap 은 되시는거구요 [07:59] 서버쪽에서 smtp 쪽 설정을 더 보셔야 할 수 있습니다. smtp 는 잘못 설정되면 스팸메일 서버가 될 수 있어서 설정을 잘 하셔야 합니다. [08:00] 서버는 어떤 서버를 쓰고 계시는지요? [08:01] 센토스 6.5요 [08:01] sendmail 로 구성하신거 일 수 있겠네요 [08:01] 네 sendmail인데 [08:01] 사용자 정보는 OS 계정으로 하신건가요? 아니면 DB 를 이용하시는건가요? [08:02] os로하고 [08:02] virtusertable? [08:02] 도 설정한거같아요 [08:02] 메일 어카운트 개수가 적으면 OS 계정으로 히기도 하는데 많아지면 DB 로 가는게 훨 이득이구요 [08:03] 일단 아는게 없어서 많이 힘드네요 [08:03] 사실 적어도 DB 가는게 보안상 좋습니다. sendmail 로그를 디버르 레벨을 더 높여보신다거나 [08:03] 아무튼 로그를 잘 보셔야 할거 같습니다. [08:04] 손으로 telnet 터미널로 ehlo 등등 smtp 명령으로 디버깅 해보는 방법이 있는데 [08:05] base64 인코딩을 해야하는 번거로움이 있긴 합니다. 만약 이방법을 쓰시려면 정상동작하는 서버에서 테스트 해보신 후 테스트 해보시길 권해 드립니다. [08:38] 아 감사합니다 아직 되진 않는데 아까보다 많이 발전했어요 정말감사드립니다 [23:28] 모닝요