档案整理与安全：基于Linux的设备认证实操指南

一、环境初始化与基础依赖安装

本指南基于Ubuntu 22.04 LTS服务器环境构建，通过Samba实现档案共享，结合Udev规则与ACL权限控制实现USB设备认证。只有当指定的USB安全Key插入服务器时，敏感档案目录才会解锁，拔出即锁定。

更新系统源并安装必要的服务组件。打开终端，执行以下命令：

```bash sudo apt update && sudo apt upgrade -y sudo apt install samba samba-common-bin acl udev -y ```

关键组件说明：

• samba：用于提供文件共享服务，支持Windows/Linux客户端访问。
• acl：访问控制列表，用于实现超越传统chmod的精细化权限管理。
• udev：设备管理器，用于监控硬件插拔事件并触发认证脚本。

创建一个专门用于管理档案的系统用户，该用户不通过SSH登录，仅用于文件服务：

```bash sudo useradd -r -s /bin/false arch_admin sudo smbpasswd -a arch_admin ```

执行上述命令后，系统会提示设置Samba密码。请输入并牢记该密码，后续客户端连接时需要使用。

二、标准化档案目录结构建设

为了便于档案整理与检索，我们在数据挂载点下建立标准化的目录树。假设数据存储在/data目录下，执行以下命令创建层级结构：

```bash sudo mkdir -p /data/archives/{public,confidential,destroyed} sudo mkdir -p /data/archives/confidential/{2023,2024,2025} sudo chown -R arch_admin:arch_admin /data/archives sudo chmod -R 770 /data/archives ```

目录权限逻辑：

• public：公开档案，所有授权用户可读写。
• confidential：机密档案，默认锁定，仅当USB Key插入后，arch_admin用户获得读写权限。
• destroyed：待销毁档案，仅管理员拥有权限。

设置默认ACL，确保后续创建的子文件继承父目录权限：

```bash sudo setfacl -R -d -m u:arch_admin:rwx /data/archives ```

三、Samba服务精细化配置

编辑Samba主配置文件，删除原有内容，直接复制以下配置。该配置定义了严格的共享规则和隐藏策略。

使用命令编辑配置文件：

```bash sudo nano /etc/samba/smb.conf ```

将以下内容完整粘贴进去：

```ini [global] workgroup = WORKGROUP server string = Archive Secure Server security = user log file = /var/log/samba/log.%m max log size = 1000 logging = file panic action = /usr/share/samba/panic-action %d 性能优化 socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=131072 SO_SNDBUF=131072 read raw = yes write raw = yes 权限掩码，确保创建文件权限正确 create mask = 0770 directory mask = 0770 force create mode = 0770 force directory mode = 0770 [Public_Archive] comment = Public Archives Area path = /data/archives/public browseable = yes read only = no valid users = arch_admin force user = arch_admin vfs objects = acl_xattr [Confidential_Archive] comment = Secure Area - Requires USB Key path = /data/archives/confidential browseable = yes read only = no valid users = arch_admin force user = arch_admin 关键点：如果文件系统权限不足，Samba会拒绝访问 vfs objects = acl_xattr ```

保存并退出（Ctrl+O, Enter, Ctrl+X）。重启Samba服务使配置生效：

```bash sudo systemctl restart smbd nmbd ```

四、USB设备指纹提取与规则编写

这是本方案的核心。我们需要获取USB设备的唯一标识符（idVendor和idProduct），并编写Udev规则。请插入准备好的USB安全Key，然后执行：

```bash lsusb ```

输出示例类似：Bus 002 Device 005: ID 1234:5678 SanDisk Corp. Cruzer。其中1234是idVendor，5678是idProduct。

为了更精准地匹配设备（防止同型号U盘误触发），我们需要获取设备序列号。执行：

```bash 替换 /dev/bus/usb/002/005 为你实际的设备路径，或直接通过udevadm查询 udevadm info -a -p $(udevadm info -q path -n /dev/sdb) | grep -E 'idVendor|idProduct|serial' ```

记录下这三个值。接下来创建认证脚本。该脚本负责在检测到指定USB插入时，赋予用户权限；拔出时，移除权限。

创建授权脚本：

```bash sudo nano /usr/local/bin/usb_auth_grant.sh ```

写入以下内容：

```bash !/bin/bash USB插入授权脚本 LOG_FILE="/var/log/usb_auth.log" DATE=$(date '+%Y-%m-%d %H:%M:%S') echo "[$DATE] USB Key detected. Granting access..." >> $LOG_FILE 赋予arch_admin对confidential目录的完全控制权限 setfacl -R -m u:arch_admin:rwx /data/archives/confidential 发送系统通知（可选） wall "System Alert: Security Key inserted. Confidential archive unlocked." ```

创建撤销脚本：

```bash sudo nano /usr/local/bin/usb_auth_revoke.sh ```

写入以下内容：

```bash !/bin/bash USB拔出撤销脚本 LOG_FILE="/var/log/usb_auth.log" DATE=$(date '+%Y-%m-%d %H:%M:%S') echo "[$DATE] USB Key removed. Revoking access..." >> $LOG_FILE 移除arch_admin对confidential目录的权限 注意：这里移除ACL条目，基础权限保持不变 setfacl -R -x u:arch_admin /data/archives/confidential 强制断开当前的Samba连接（可选，增强安全性） smbstatus -b | grep arch_admin | awk '{print $2}' | xargs -I {} sudo kill -9 {} 2>/dev/null wall "System Alert: Security Key removed. Confidential archive locked." ```

赋予脚本执行权限：

```bash sudo chmod +x /usr/local/bin/usb_auth_grant.sh sudo chmod +x /usr/local/bin/usb_auth_revoke.sh ```

五、部署Udev规则实现自动触发

现在将设备指纹与脚本关联。创建规则文件：

```bash sudo nano /etc/udev/rules.d/99-usb-security-key.rules ```

请将下方的idVendor、idProduct和serial替换为你第四步中实际获取的值。注意，serial不是必须的，但强烈推荐使用以防止误触发。

```bash USB插入时执行授权脚本 ACTION=="add", SUBSYSTEM=="usb", ATTR{idVendor}=="1234", ATTR{idProduct}=="5678", ATTR{serial}=="ABC123456", RUN+="/usr/local/bin/usb_auth_grant.sh" USB拔出时执行撤销脚本 ACTION=="remove", SUBSYSTEM=="usb", ATTR{idVendor}=="1234", ATTR{idProduct}=="5678", ATTR{serial}=="ABC123456", RUN+="/usr/local/bin/usb_auth_revoke.sh" ```

保存并退出。重新加载Udev规则并触发测试：

```bash sudo udevadm control --reload-rules sudo udevadm trigger ```

六、全链路功能验证与故障排查

至此，所有配置已完成。以下是验证步骤，确保每一个环节都正常工作。

1. 基础权限验证

在未插入USB Key的情况下，尝试访问Confidential_Archive共享目录。此时应该无法访问或无法写入，提示权限不足。检查当前ACL状态：

```bash getfacl /data/archives/confidential ```

输出中不应包含user:arch_admin:rwx的特定条目（或仅有基础group权限）。

2. 设备插入验证

插入USB Key。观察系统日志，确认脚本执行：

```bash tail -f /var/log/usb_auth.log ```

看到Granting access...后，立即再次检查ACL：

```bash getfacl /data/archives/confidential ```

此时输出中必须包含user:arch_admin:rwx。在Windows客户端尝试访问，应能正常读写文件。

3. 锁定验证

拔出USB Key。观察日志出现Revoking access...。此时，虽然Windows客户端可能还保留着文件句柄，但任何新的读写操作都会被拒绝。尝试新建文件会报错。重新插入USB Key可恢复。

4. 常见故障处理

脚本未执行：检查Udev规则语法是否正确，特别是引号和等号。确保脚本路径正确且具有chmod +x权限。

权限未生效：确认/data/archives所在的文件系统挂载时支持ACL。大多数默认文件系统（ext4, xfs）都支持。可以使用mount | grep data查看挂载选项。

Samba连接未断开：撤销脚本中的smbstatus命令需要root权限执行，Udev环境通常以root运行，但部分环境可能需要调整。如果强制断开不生效，用户在拔出Key后仍可操作已打开的文件，直到关闭文件句柄，这是正常的安全边界，重启Samba服务可强制断开所有连接。