使用Linux文件系统编写一次,多次读取(WORM)

Modified on: Sun, 28 Jul 2019 17:40:02 +0800

我要求将文件写入Linux文件系统,该文件系统不能随后被覆盖,附加,以任何方式更新或删除。不是由sudo,root或任何人。我试图满足FINRA 17A-4的记录保存金融服务法规的要求,这基本上要求将电子文档写入WORM(一次写入,多次读取)设备。我非常希望避免使用DVD或昂贵的EMC Centera设备。

是否有Linux文件系统,或者SELinux是否支持在写入后立即(或至少很快)完成不可变文件的要求?或者有人知道我可以使用Linux权限等在现有文件系统上强制执行此操作吗?

据我所知,我可以设置只读权限和不可变属性。但是我当然希望root用户可以取消这些。

我考虑将数据存储到已卸载的小卷中,然后以只读方式重新装入,但我认为root仍然可以卸载并重新装入可再写的状态。

我正在寻找任何聪明的想法,最糟糕的情况我愿意做一些编码来'增强'现有的文件系统来提供这个。假设有一个文件系统是一个很好的起点。并安排一个精心配置的Linux服务器作为这种类型的网络存储设备,不做任何其他事情。

毕竟,加密文件也很有用!

作者:phil_ayres

最佳答案

似乎没有编写自定义文件系统/内核代码就无法做到这一点。

可行的解决方案似乎是使用Amazon Glacier和WORM存档存储选项。根据AWS官方博客:https://aws.amazon.com /博客/ AWS /冰川拱顶锁/

  

[...]一个新的Glacier功能,允许您使用一个锁定您的保险库
  旨在支持此功能的各种合规性控制
  重要记录保留用例。您现在可以创建Vault Lock
  保险库上的政策并将其锁定。一旦锁定,政策就不可能
  被覆盖或删除。冰川将执行政策和意志
  根据控件保护您的记录(包括预定义的
  保留期限)。

  
  

锁定后无法更改Vault Lock策略。然而,
  您仍然可以更改和配置不是的访问控制
  通过使用单独的保管库访问策略与合规性相关。对于
  例如,您可以向业务合作伙伴授予读取权限或指定
  第三方(有时需要通过监管)。

对我而言,这可以提供所需,而无需支付NetApp或EMC硬件,同时满足记录保留要求。

作者:phil_ayres

相关问答

添加新评论