当前,企业局域网通过文件服务器共享文件,让局域网用户随时存储、协同办公已经成为一种普遍需求,但是由于Windows服务器文件共享设置较为麻烦,同时也缺乏对共享文件的相应管控,尤其是通过操作系统自身的共享文件访问权限设置功能与域控制器等安全举措,也始终无法完全解决共享文件访问过程中的很多安全问题。而企业的共享文件,通常会涉及到单位的无形资产和商业机密,一旦泄密将会给企业带来巨大损失。为此,我们需要在搭建企业文件共享平台的同时,也要注意保护共享文件的安全。下面我们以实际搭建企业共享文件平台为例,分析一个企业共享文件解决方案
以我所在的单位为例,目前我们的文件共享都是使用samba+网络盘的方式,这种方式的好处就是便利,但也有很多不爽的地方,samba管理用户相当啰嗦,比方添加一个新用户,要在服务器端增加,而且用户自己还不能修改密码,我也一直在寻找一种途径来改变这种状况,只可惜市面上提供的大多数企业文档管理系统,都是只提供http+ftp接口的,很少有能够在linux下面mount成网络盘,或者在windows下面挂一个网络盘来实现。能实现的话,价格也是相当高。
我这里分享一种解决方案,不过需要用到一个破解程序。
FreeBSD/Linux + SSH + WebDriver
WebDriver是我试过用的较好用的一个工具,它能够将基于FTP、SSH、WebDav几种协议的网络文件夹挂载为本地硬盘。
先简要说明下需求:一般的文件服务器,都需要:可读写的公共组空间+私人空间+全局可读写的公共空间+私人共享空间。这个功能,在FreeBSD/Linux系统下是很容易实现的。定义文件夹“属性+属组+软链接”就搞定的了,限制空间也简单,使用quota。
好了,那么我的做法是这样:在服务器端打开ssh(不建议使用ftp,因为webDriver中文乱码,ssh则未发现),定义用户组、用户,定义文件夹,分配相应的权限控制(当然这些用户都不能登陆系统,否则就糟糕了),客户端安装webdriver程序(自行check),ok,就这么多。
挂载为本地驱动器
成功挂载共享文件磁盘之后,方便了共享文件的访问,接下来我们就需要设置共享文件访问权限,防止随意访问共享文件了。
这就需要用到另外一款工具——大势至局域网共享文件管理系统(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),通过在服务器上安装大势至共享文件管理系统,就可以设置服务器共享文件的访问权限,并且可以实现操作系统和域控制器无法实现的功能。比如,只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,同时也要禁止拖拽共享文件到访问者自己的磁盘,防止通过各种途径泄密。如下图所示:
此外,通过大势至局域网共享文件管理工具还可以详细记录共享文件的访问日志,便于网络管理员事后备查和审计。
这样,我们就成功搭建了企业内部共享文件平台,同时也实现了对共享文件访问权限设置、保护共享文件的安全了。
