[00:58] <autowiz> 안녕하세요
[02:39] <autowiz> bacula 설정중에 문득 그런 생각이 들었습니다.
[02:41] <autowiz> bacula-fd 가 루트 권한으로 동작하는게 기본값인데 이렇게 되면 OS 의 모든 파일들을 선택적으로 백업 할 수 는 있지만 . 특정디렉토리만 백업 하고 다른 디렉토리는 보안 차원에서 읽기 쓰기를 못하게 할 수 가 없더라구요 .
[02:41] <autowiz> /etc/bacula/bacula-fd.conf 에서 특정 디렉토리에 대한 작업만 allow 할 수 있으면 좋겠다는 생각이 들었습니다.
[03:57] <ircCloud^Seony> 안녕하세요
[03:58] <ircCloud^Seony> autowiz: 다시 말해서, bacula-fd가 슈퍼유저가 아닌 일반 유저로서 접근권한이 제한되었으면 하신다는 말씀이죠?
[04:02] <ircCloud^Seony> 그거, bacula-fd가 실행될 때 어떤 유저로 실행되게할 건지 하는 옵션이 있어요.  아마 buser = 'bacula'인가 그럴 겁니다.
[04:06] <ircCloud^Seony> 근데, 특정 디렉토리만 백업하게 할 수 있는데, 무슨 말씀인지 이해가 잘 안가네요
[04:09] <autowiz> 제한이야 할려면 할 수 있겠지만서두
[04:10] <autowiz> 그렇게 되면 제한한 그 권한으로 백업 할려는 곳에 엑세스 할 수 있게 따로 설정을 해야되긴 하지요.
[04:10] <autowiz> 제가 궁극적으로 원하는건 bacula-fd 에서 접근권한 을 디렉토리별로 설정할 수 있으면 참 좋겠다는건데
[04:10] <autowiz> 9.x 버젼은 acl 이 좀 늘었다고는 하더라구요.
[04:11] <ircCloud^Seony> bacula의 접근권한을 제한하시려는 의도가 잘 이해가 안가요
[04:11] <ircCloud^Seony> bacula-dir이 해킹당한 상황을 우려하시는 건가요?
[04:12] <ircCloud^Seony> 제 경험으로 봤을 때 bacula는 모든 디렉토리의 접근이 가능해야 백업이 수월하고, 또 그게 맞다고 생각하거든요...  재난대비 백업용도로도 그렇구요...
[04:12] <autowiz> 네 그렇긴 합니다. fd 돌아가는 클라이언트가 바큘라 비번 하나로 rw 권한이 풀로 열려버리니까요ㅜㅜ
[04:12] <ircCloud^Seony> 아... 그 점에 대해서 솔루션을 드리자면요...
[04:12] <ircCloud^Seony> 제가 관리하는 서버의 경우,
[04:12] <autowiz> 백업 / 리스토어 입장에선 충분히 그렇긴 합니다 .
[04:13] <ircCloud^Seony> dir-fd간의 hand-shaking을 ssl로 하고있어요
[04:13] <ircCloud^Seony> 그래서, 별도의 인증서를 만들어서 관리하고 있죠
[04:13] <autowiz> 저는 제 PC 들 백업 할려다 보니 그렇더라구요. 개발용 회사소스는 백업 하는게 당연한데
[04:13] <autowiz> 제 개인자료들은 아예 접근이 안됐으면 싶다 이런거지요.
[04:13] <ircCloud^Seony> 아.... 무슨 말씀인지 인제 이해가 됐네요.  그러니까,
[04:13] <ircCloud^Seony> dir을 제어하는 직원이, 클라이언트의 데이터를 맘대로 가져갈 수 있다는 점을 우려하시는 거죠?
[04:14] <autowiz> 그러면서 설정 편의성 측면에서 bacula-fd 를 다른 유저로 실행시키는거보다 . 설정파일에서 설정을 할 수 있으면 더 좋겠다 싶은 생각이 들었습니다. ㅎㅎ
[04:14] <autowiz> apparmor 로 막을 수 도 있을거같네요
[04:14] <autowiz> 네 정확합니다. 그런게 우려스럽습니다.
[04:14] <ircCloud^Seony> 음... 저는 제 개인적인 자료는 encfs로 관리하거든요.  어쩌면 이 방법이 도움이 될지도 모르겠네요
[04:15] <autowiz> 암호화 시키시는거군요
[04:15] <ircCloud^Seony> encfs에 넣어놓고, 쓸 일이 있을 때만 마운트하고 볼일 다보면 언마운트하고... 그러면 아무리 bacula로 백업해도 소용이 없겠죠
[04:15] <ircCloud^Seony> 네 그렇죠...
[04:15] <ircCloud^Seony> 어차피 업무용 컴퓨터야 대부분의 자료가 업무용이니까 상관없는데, 그 와중에서도 정말 개인적인 자료도 있긴 하니간요...
[04:18] <autowiz> 사실 외장하드 , PC 하드 , USB 등에 대해서 FS 암호화 및 디렉토리/파일 수준 암호화를 귀찮아서 잘 안했는데
[04:18] <autowiz> 점점 일이 복잡해지고 커지다보니 해야 할 거 같습니다.
[04:18] <ircCloud^Seony> 사실, 업무용 컴퓨터에는 개인자료를 안두는게 나아요
[04:19] <ircCloud^Seony> 회사에 관련된 개인자료처럼 어쩔 수 없는 경우는 encfs
[04:26] <autowiz> 생각해보니 개인용 자료는 그렇다치고 다른직원이나 다른팀원이 보면 안되는 자료도 있을 수 있을거같습니다. 물론 백업서버가 안뚫리면 아무문제가 안되는거겠지만 . 아무래도 뭔가 다른 보호장치가 있으면 싶은 생각이 자꾸만 듭니다.
[04:33] <ircCloud^Seony> 백업서버가 뚫린 상황이라면, 뭐 어떤 회사든 다 끝장난 상황 아닙니까 ㅋㅋ
[04:37] <autowiz> 그렇지 말입니다 ㅠㅠ
[07:37] <choi> sadf
[07:37] <choi> asdf
[07:37] <choi> 여기에다가 질문 여쭤봐도되나요
[07:37] <autowiz> 네 그렇습니다~
[07:38] <choi> centos 6.5고 메일서버 설정하는데 문제가조금 있는거같아서요
[07:38] <choi> 네임서버 & 메일서버는 동일하게 잡아줬고
[07:38] <choi> 로컬에서 해당 vm으로 nslookup domain.co.kr 하면 핑잘나가는데
[07:39] <choi> naver같은 외부에서 메일을보내면 Sorry, I couldn't find any host by that name
[07:39] <choi> 라고 메일 튕겨내는데 혹시 확인해봐야할곳 있을까요
[07:50] <autowiz> 도메인은 정식으로 사신거겠지요?
[07:50] <autowiz> 실례지만 도메인을 여쭤봐도 될까요?  개인 쿼리로 주셔도 됩니다.
[07:53] <choi> 아 아뇨
[07:53] <choi> 원래 윈서버에서
[07:53] <choi> 리눅스로 이전하면서 메일서버를 sendmail로 바꾸는거 테스트중이예요
[07:54] <autowiz> 외부메일에서 메일 보내는경우라고 말씀하셔서요 으음.
[07:54] <choi> 아 .........
[07:54] <choi> 제가 큰실수를했네요;;;;
[07:55] <choi> 감사합니다 .... 흑흑
[07:55] <autowiz> 적어주신 naver 같은 외부에서 튕겨내는건 도메인에 대한 ip 를 못찾아서 그런걱같거든요
[07:55] <choi> 아 창피하네요 정신이없었나봅니다
[07:55] <choi> 혹시 하나만더 여쭤봐도될까요 ?
[07:56] <choi> 아웃룩에서 계정연동할때
[07:56] <choi> 계정 설정에서 테스트메일은 서버에서 받는데
[07:57] <choi> smtp 인증?이 계속 튕기고있어요
[07:58] <autowiz> 보내는게 안된다는 말씀이시군요 pop 이나 imap 은 되시는거구요
[07:59] <autowiz> 서버쪽에서 smtp 쪽 설정을 더 보셔야 할 수 있습니다. smtp 는 잘못 설정되면 스팸메일 서버가 될 수 있어서 설정을 잘 하셔야 합니다.
[08:00] <autowiz> 서버는 어떤 서버를 쓰고 계시는지요?
[08:01] <choi> 센토스 6.5요
[08:01] <autowiz> sendmail 로 구성하신거 일 수 있겠네요
[08:01] <choi> 네 sendmail인데
[08:01] <autowiz> 사용자 정보는 OS 계정으로 하신건가요? 아니면 DB 를 이용하시는건가요?
[08:02] <choi> os로하고
[08:02] <choi> virtusertable?
[08:02] <choi> 도 설정한거같아요
[08:02] <autowiz> 메일 어카운트 개수가 적으면 OS 계정으로 히기도 하는데 많아지면 DB 로 가는게 훨 이득이구요
[08:03] <choi> 일단 아는게 없어서 많이 힘드네요
[08:03] <autowiz> 사실 적어도 DB 가는게 보안상 좋습니다.  sendmail 로그를 디버르 레벨을 더 높여보신다거나
[08:03] <autowiz> 아무튼 로그를 잘 보셔야 할거 같습니다.
[08:04] <autowiz> 손으로 telnet 터미널로 ehlo 등등 smtp 명령으로 디버깅 해보는 방법이 있는데
[08:05] <autowiz> base64 인코딩을 해야하는 번거로움이 있긴 합니다.  만약 이방법을 쓰시려면 정상동작하는 서버에서 테스트 해보신 후 테스트 해보시길 권해 드립니다.
[08:38] <choi> 아 감사합니다 아직 되진 않는데 아까보다 많이 발전했어요 정말감사드립니다
[23:28] <razGon_JJSpring> 모닝요