nfs-папка: чтобы одна машина и читала, и писала. А другие машины — чтобы только читали.

Короче, как правильно решить мою задачу? (надеюсь, понятно, что я хочу?).

концептуально вы делаете «не правильно»

Задача: чтобы продовский сервер а) мог загружать картинки в папку uploads и вообще иметь полный доступ к файлам. А сервер б) – чтобы мог только читать файлы из папки uploads.

на «проде» монтируете nfs как обычно

на сервере «б» монтируете nfs как read-only mount -t nfs -o ro

Хорошо. А какого владельца и группу назначить для папки uploads (которую я вынес на отдельный сервер в) ) ?

На каждом сервере – свои пользователи. Всего сервера 3:

а) -- продовская версия сайта

б) -- тестовая версия сайта

в) -- сервер с папкой uploads

А то я примонтировал папку uploads с полным доступом к серверу а), а владелец папки uploads – nobody:nogroup. И только владелец и может писать в папку uploads, а юзер с сервера б) – не может писать новые файлы в папку uploads.

самое простое решение, это на сервере б монтировать директорию шару /uploads в режиме read-only

Хорошо, я понял. Мне просто непонятно, какие тогда изначально назначить владельца:группу на папку uploads на сервере в), учитывая, что в папке uploads уже есть картинки.

какие тогда изначально назначить владельца:группу на папку uploads на сервере в)

Такие, чтобы читались там, где их нужно читать.

Ты вообще зря так упираешься в пользователя. NFS вообще не про это. По сути, там всего два варианта root и nobody. Если ставишь опцию squash_root, то владельцем на сервере должен быть nobody:nobody. А если не ставишь, то root:root. Первый вариант предпочтительнее, ибо безопаснее. Тебе просто надо поставить /etc/exports ro для сервера чтения и rw для сервера чтения-записи, а юзер и права на файлы просто должны позволять читать-писать.

а) мог загружать картинки в папку uploads и вообще иметь полный доступ к файлам. А сервер б) – чтобы мог только читать файлы из папки uploads.

man exports

Не, про опции в файле /etc/exports я знаю, если что. Там мы можем указать, что папка только для чтения или для чтения/записи.

И для каждого клиента отдельно

назначить владельцем папки uploads юзера:группу nobody:nogroup

nfs4 acl

на сервере «б» монтируете nfs как read-only mount -t nfs -o ro

А если сервер б это дев или тест, то приходит веселый разработчик, и в какой-то момент что-то идет не так после -o remount,rw

Ну man exports же. Одному серверу rw, остальным ro

nfs4 acl

а чем тут поможет nfs4 acl, если сетевых учёток нет? Т.е. нужен LDAP, а к нему ещё и kerberos :-(

Зачем сетевые учетки, когда для nfs4 acl хватит локальных?

Зачем нужна гранулярная настройка прав, которую дает nfs4 acl, если без ldap/kerberos nfs-сервер будет доверять uid/gid с удаленного nfs-клиента?

Что она даст в плане безопасности nfs-сервера?

Если ты вернешься к исходной задаче, то речь о выдаче прав остальным read only клиентам

Впрочем, скорее всего будет достаточно и обычного umask

Просто проэкспортить одному хосту как rw а другим как ro не позволяет религия?

А тебя сама постановка задачи в целом совсем не смущает?