phi*_*res 8 linux filesystems selinux root read-only
我需要将文件写入 Linux 文件系统,该文件系统随后不能被覆盖、附加、以任何方式更新或删除。不是 sudo-er、root 或任何人。我试图满足金融服务法规对记录保存的要求,FINRA 17A-4,它基本上要求将电子文档写入 WORM(一次写入,多次读取)设备。我非常希望避免使用 DVD 或昂贵的 EMC Centera 设备。
是否有 Linux 文件系统,或者 SELinux 能否支持在写入后立即(或至少很快)使文件完全不可变的要求?或者有人知道我可以使用 Linux 权限等在现有文件系统上强制执行此操作的方法吗?
我知道我可以设置只读权限和不可变属性。但当然,我希望 root 用户能够取消这些设置。
我考虑将数据存储到卸载的小卷中,然后以只读方式重新挂载,但后来我认为 root 仍然可以卸载并重新挂载为可写。
我正在寻找任何聪明的想法,在最坏的情况下,我愿意做一些编码来“增强”现有文件系统以提供此功能。假设有一个文件系统是一个很好的起点。并放置一个精心配置的 Linux 服务器作为这种类型的网络存储设备,什么都不做。
毕竟,对文件进行加密也很有用!
看来如果不编写自定义文件系统/内核代码就没有办法做到这一点。
一个可行的解决方案似乎是使用带有 WORM 存档存储选项的 Amazon Glacier。根据 AWS 官方博客:https://aws.amazon.com/blogs/aws/glacier-vault-lock/
[...] 一项新的 Glacier 功能,允许您通过各种合规性控制来锁定您的保管库,这些控制旨在支持这一重要的记录保留用例。您现在可以在保管库上创建保管库锁定策略并将其锁定。一旦锁定,该策略将无法被覆盖或删除。Glacier 将执行该政策,并根据其中指定的控制措施(包括预定义的保留期)保护您的记录。
锁定保管库锁定策略后,您将无法更改它。但是,您仍然可以使用单独的保管库访问策略来更改和配置与合规性无关的访问控制。例如,您可以向业务合作伙伴或指定的第三方授予读取权限(有时法规要求)。
对我来说,这完全满足了我的需要,无需花费 NetApp 或 EMC 硬件的费用,同时满足记录保留要求。
| 归档时间: |
|
| 查看次数: |
10628 次 |
| 最近记录: |