นโยบายการจัดการความรู้ มหาวิทยาลัยสงขลานครินทร์ 1.ให้ใช้เครื่องมือการจัดการความรู้ผลักดัน คุณภาพคน และกระบวนทำงาน 2.ส่งเสริมการแลกเปลี่ยนประสบการณ์การทำงาน จากหน้างาน 3.ส่งเสริมให้มีเวทีเรียนรู้ร่วมกัน

ServiceMan
Ico64
Sathaya Bunratchoo
Engineer
Scientific Equipment Center, PSU
ความเคลื่อนไหวล่าสุด
เครือข่าย
สมาชิก · ติดตาม: 3 · ผู้ติดตาม: 2

อ่าน: 1703
ความเห็น: 1

ป้องกันการเผลอลบแฟ้มจาก Samba Server

ทำอย่างไรกับ Samba Server เมื่อมีผู้ใช้งานหลายคนและมีหลายสิทธิ์การเข้าถึงข้อมูล

    ปลายเดือนที่แล้ว ServiceMan เจอใบปฏิบัติการแก้ไขและป้องกัน จากการตรวจติดตามคุณภาพภายใน (Internal Audit) ในเรื่องเกี่ยวกับการเข้าถึงข้อมูลดิบโดยเจ้าหน้าที่สำนักงานเลขานุการ และปัญหาคือเจ้าหน้าที่สามารถลบแฟ้มข้อมูลที่เรียกดูได้ด้วย ซึ่งอาจเกิดเหตุที่ไม่ตั้งใจขึ้นได้ ผู้ตรวจติดตามจึงให้เป็นข้อเสนอแนะมา เพื่อให้ดำเนินการหาแนวทางการแก้ไขและป้องกัน

    ปัญหาเริ่มจาก ลูกค้าเริ่มต้องการข้อมูลดิบที่ได้จากการทดสอบของเครื่องมือต่างๆ หลังจากส่งทดสอบตัวอย่างกับทางศูนย์เครื่องมือฯ เพื่อนำไปประมวลผลต่อด้วยโปรแกรมต่างๆ จากเดิมนักวิทยาศาสตร์เจ้าของเครื่องจะเป็นคนดำเนินการให้ แต่เมื่อความต้องการขอข้อมูลดิบมีมากขึ้น ภาระการ Copy ข้อมูลดิบให้ลูกค้าจึงมาอยู่ที่ เจ้าหน้าที่สำนักงานเลขานุการ ซึ่งแต่เดิมจะไม่ได้รับสิทธิ์ในการเข้าถึงข้อมูลดิบ จากเดิมผู้มิสิทธิ์เข้าถึงข้อมูลดิบจะเป็นนักวิทยาศาสตร์/วิศวกรผู้รับผิดชอบเครื่องมือนั้นๆ เท่านั้น เพื่อป้องกันทั้งความลับ และความเสียหายของข้อมูล แต่ลูกค้าคือคนสำคัญเราจึงให้ เจ้าหน้าที่สำนักงานเลขานุการ เข้าถึงข้อมูลได้เพื่อความสะดวกและรวดเร็วในการส่งต่อข้อมูลดิบให้ลูกค้า

   จากการตรวจติดตามคุณภาพภายใน และการสุ่มตรวจ ปัญหาแม้จะยังไม่เกิดแต่ก็อาจเกิดขึ้นได้ จึงต้องหาวิธีการป้องกันไว้ก่อน ในทางปฏิบัติแล้ว Samba Server กำหนดสิทธิ์การเข้าถึง การเขียนและอ่านรายบุคคลได้ แต่เมื่อแฟ้มต้องใช้ร่วมกันในการอ่านและเขียนมากกว่าหนึ่งคน (มือ1 มือ2) การใช้กลุ่มเพื่อกำหนดสิทธิ์ยังพอทำได้ แต่เมื่อหลายคนอยู่ในหลายกลุ่มของเครื่องมือ (1คนดูแลเครื่องมือมากกว่า 1 เครื่อง) จึงเป็นไปไม่ได้ที่จะกำหนดสิทธิ์ที่เฉพาะเจาะจง ดังนั้นทุกคนจึงมีกลุ่มหลักเป็น USERS และมีกลุ่มย่อยเป็นชื่อเครื่องมือที่ดูแล เช่น MS TGA DNA... แต่เมื่อมีการสร้างแฟ้ม แฟ้มเหล่านั้นจะสร้างในชื่อของเจ้าของผู้สร้าง และอยู่ในกลุ่มของ USERS เสมอ หาได้อยู่ในกลุ่มของ MS TGA DNA... ผู้ใช้ทุกคน (ซึ่งอยู่ในกลุ่ม USERS) จึงได้สิทธ์ในการแก้ไข ลบ ได้ด้วย เอวัง... แต่การป้องกันได้ทำไว้ระดับหนึ่งแล้วนั่นคือผู้ใช้ต่างกลุ่มจะไม่สามารถเข้าถึง Folder ของเครื่องมือที่ตัวเองไม่มีสิทธิฺ ซึ่งข้อกำหนดนี้ยกเว้นสำหรับ เจ้าหน้าที่สำนักงานเลขานุการซึ่งต้องเข้าถึงข้อมูลได้ทั้งหมดเพื่อ Copy ให้ลูกค้าที่ร้องขอ และหัวหน้าฝ่ายซึ่งก็เข้าถึงได้ทั้งหมดเช่นกันเพราะต้องตรวจสอบผลการทดสอบก่อนปล่อยผลถึงมือลูกค้า

    แล้วทำอย่างไรให้ทุกคนสามารถทำงานได้และข้อมูลปลอดภัย กล่าวคือ นักวิทยาศาสตร์ในกลุ่มเดียวกันสามารถทำงานแทนกัน สามารถเข้าถึงแก้ไขได้ทุกคนที่อยู่กลุ่มเครื่องมือเดียวกัน สองคือหัวหน้าฝ่ายและเจ้าหน้าที่สำนักงานเลขานุการสามารถเข้าถึงข้อมูลได้ทั้งหมดแต่ไม่สามารถลบและแก้ไขได้ ผมคิดๆ และหาแนวทางอยู่นาน ตอนแรกจะใช้

create mask = 0740
directory mask = 0770

ซึ่งแบบนี้จะทำให้ในกลุ่มน่าจะสามารถเพิ่มเติมแฟ้มใน Folder ได้ แต่ในแต่ละแฟ้มผู้สร้างเท่านั้นที่จะแก้ไขได้ แต่จากการทดสอบคือ User อื่นก็ยังลบแฟ้มที่สร้างได้อยู่ ไม่ Work :(

ผมลองอีกแนวทาง ซึ่งเพิ่งคิดออกคือ สร้าง Share drive ขึ้นมาอีกชื่อหนึ่งและกำหนดให้อ่านอย่างเดียว เพิ่ม User เฉพาะหัวหน้าฝ่ายและเจ้าหน้าที่สำนักงานเลขานุการ ให้มาอยู่ในกลุ่มนี้ เช่น

[Data2]
path = /rawdata
comment = Rawdata
browseable = yes
read only = yes
writable = no
valid users = user1, user2, user3

แบบนี้น่าจะแก้ปัญหาได้ ผู้ใช้ในกลุ่มที่ต้องการให้อ่านได้อย่างเดียวก็จัดให้อยู่ในกลุ่มนี้ให้หมดและ map ไปที่ \\server\Data2 สำหรับกลุ่มเดิมก็ใช้แบบเดิม

[Data1]
path = /rawdata
comment = Rawdata
browseable = yes
read only = no
writable = yes
valid users = user4, user5, user6

ซึ่งน่าจะแก้ปัญหาได้ครบทุกความต้องการ นักวิทยาศาสตร์ยังคงทำงานได้สะดวกไม่กลัวข้อมูลหายเมื่อ ข้อมูลถูกเข้าถึงโดย หัวหน้าฝ่ายและเจ้าหน้าที่สำนักงานเลขานุการ :)

หมวดหมู่บันทึก: พัฒนางานประจำ
สัญญาอนุญาต: ซีซี: แสดงที่มา-ไม่ใช้เพื่อการค้า-อนุญาตแบบเดียวกัน Cc-by-nc-sa
สร้าง: 13 สิงหาคม 2556 18:12 แก้ไข: 13 สิงหาคม 2556 20:47 [ แจ้งไม่เหมาะสม ]
ดอกไม้
สมาชิกที่ให้กำลังใจ: Ico24 DaDa, Ico24 คนธรรมดา, และ 3 คนอื่น.
สมาชิกที่ให้กำลังใจ
 
Facebook
Twitter
Google

บันทึกอื่นๆ

ความเห็น

อิอิ อ่านรอบแรกยังไม่ค่อยเข้าใจระบบ/โปรแกรม แต่จะกลับไปอ่านใหม่ เพราะเหมือนว่าเราจะเอามาใช้ได้ในอนาคต

 

เอิ้ก เอิ้ก

 

"ใจสั่งมา"

ร่วมแสดงความเห็นในหน้านี้

ชื่อ:
อีเมล:
IP แอดเดรส: 3.93.75.30
ข้อความ:  
เรียกเครื่องมือจัดการข้อความ
   
ยกเลิก หรือ