btrfs + samba + shadow_copy2로 home 폴더에 이전버전 활성화하기

파일을 변조하는 악성코드가 돌아다닐 때 구글링하여 정보를 모은 후 구축했던 내용. 나중에 포맷등에 의한 새로 환경을 세팅할 때 참고하기위해 기록.

공유를 위한 파티션을 하나 만들고 btrfs로 포맷, 그리고 /opt/smbshare 폴더를 생성, 마운트한다. 이후 해당 경로에 .snapshots 폴더를 만든다.

아래 내용은 btrfs 파티션을 /opt/smbshare에 마운트 한 상황을 기준으로 기술하였다. samba의 홈 폴더를 별도로 두어 samba의 사용자 폴더는 리눅스 쉘에서의 사용자 폴더와 구분되도록 하였다. (history등 상태나 설정파일들을 공유폴더에서 나타나지 않도록 하기위함.)

/etc/samba/smb.conf 파일 중 home 섹션을 아래와같이 vfs와 shadow내용을 추가하고 path 내용을 btrfs 파일시스템의 경로로 설정한다. 나머지는 CentOS의 samba 기본 설정.

[homes]
        comment = Home Directories
        path = /opt/smbshare/%S
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes

        vfs objects = shadow_copy2
        shadow:basedir = /opt/smbshare
        shadow:snapdir = /opt/smbshare/.snapshots

이제 주기적으로 쉐도우 복사본을 만드는 스크립트를 작성하면 된다. 아래는 현재 사용중인 스크립트이며 경로는 /opt/smbshare/mksnap.sh 로 저장했다.

#!/bin/sh
/usr/sbin/btrfs sub snap -r /opt/smbshare /opt/smbshare/.snapshots/@GMT-`date -u +%Y.%m.%d-%H.%M.%S`

GMT 시긴대 기준으로 .snapshots 폴더아래에 읽기전용 스냅샷을 생성한다(KST 기준으로 만들고싶었지만 samba 설정에서 KST 시간대로 인식하는 설정법을 찾지 못하였다.).
덧) 일정기간 이후의 스냅샷을 지우는 스크립트는 따로 만들어두지않았다. 종종 용량을 체크하여 직접 지울 계획이다. 스냅샷을 지우는 명령은 btrfs sub delete [폴더명]이다.

이제 cron에 root 계정으로 등록한다.

0 * * * * /opt/smbshare/mksnap.sh

용량이 남아도는 관계로 매 시간마다 스냅샷을 생성하고있다(…). 만약 특정개수 이상 생성 안되도록 하려면 이곳(github)이곳(github)이곳(github)에 올린 코드를 활용하거나 구하면 될듯하다. (표준시간대 기준으로 생성하지않으므로 코드 수정이 필요.)

이렇게 하면 공유폴더에서 등록정보를 열고 ‘이전 버전’을 확인하면 아래와같이 매 시간마다 생성된 스냅샷 내용을 열 수 있다.

이제 파일 히스토리나 백업 프로그램의 백업 대상을 공유폴더에 지정해두면 리눅스 머신이 털리지 않는이상 파일을 안전하게 보관가능하다. 또한 실수로 파일을 지웠을경우, 이전에 작업한 파일내용을 열어야 할 경우에도 활용가능하다.

만약 SELinux를 사용중이라면 사용자 폴더를 생성 후 ls -Z 명령으로 보안권한을 확인 해 봐야한다.

drwx------. iruis users unconfined_u:object_r:samba_share_t:s0 iruis

이런식으로 samba_share_t 권한이 없다면 chcon -t samba_share_t -R [폴더명] 같이 실행하여 samba 서비스의 접근을 허용해야 파일을 읽을 수 있다. (-R 옵션은 하위폴더 포함하여 모두 권한을 변경한다.)

결론: btrfs 좋다. (응?)

systemd를 사용하는 리눅스 파일 시스템을 다른 머신으로 복사할 때 주의 점

사용중인 리눅스 머신의 파일시스템을 다른 머신에서 그대로 사용하기위해 rsync -aXHv –numeric-ids /source/ /target/ 과같이 1:1복사하여 두 머신을 켰을 경우 두 머신이 동일한 IP를 받게되었다.

dhcp 클라이언트가 mac address가 아닌 다른 방식으로 아이피를 얻어오는것같다. 구글링에서 IP를 다시 얻는 방법은 다들 systemd-networkd를 재시작하는 정도와 다른 방법도 있었지만 이게 먹혀들지않았다. /run/systemd/netif/leases 내 생성되어있는 파일을 지워보라는 방법 또한 안먹혔다. 혹시나 파일 내 clientid 값이 둘 다 같은것이 원인인가했지만 이걸 다시 생성하는 방법도 안나오고 hostname이 동일해서 그런지 확인하는 중 hostnamectl 명령을 실행하여 확인이 가능한 machine id 값이 동일한것에서 설마 하였다.

buildroot에서 systemd를 사용하게 되면 간혹 systemd-machine-id-setup 명령을 실행해야 하는 경우가 있어 이미 생성 된 /etc/machine-id 파일을 지우고 명령을 실행하니… 바로는 안되었고 재부팅을 하니까 복사된 파일시스템을 사용하는 머신은 새로운 IP를 받게되었다.

덕분에 이번에도 한시간 넘게 시간을 낭비했다(…)