Запуск клиентской службы Baculа с привилегией PARSEC_CAP_UNSAFE_SETXATTR
Для того, чтобы клиентская служба Bacula (в терминологии Bacula - FileDaemon) могла при восстановлении объектов файловой системы (файлов, каталогов) правильно восстановить мандатные атрибуты этих объектов, нужно предоставить этой службе специальную Парсек-привилегию PARSEC_CAP_UNSAFE_SETXATTR (код привилегии 0x1000), позволяющую устанавливать мандатные атрибуты объектов без учета мандатных атрибутов объекта-контейнера. Эта привилегия специально предназначена для обеспечения возможности восстановления файловых объектов, так как в процессе восстановления могут возникать временные ситуации нарушения мандатных ограничений.
При использовании командной строки для применения этой привилегии можно использовать команду execaps (подробнее см. в статье про архивирование и восстановление, а также в документации).
Так как клиентская служба резервного копирования/восстановления bacula не вызывается из командной строки, а запускается как системная служба, для того, чтобы она получала необходимую привилегию PARSEC_CAP_UNSAFE_SETXATTR при запуске, нужно внести изменения в юнит (файл запуска этой службы), а именно изменить в файле запуска службы /etc/init.d/bacula-fd строчку :
на строчку
Сделать это можно с помощью текстового редактора, или командой:
sudo sed -i -e 's/start-stop-daemon -c "$DAEMONUSER" --start/execaps -c 0x1000 -- start-stop-daemon -c "$DAEMONUSER" --start/g' /etc/init.d/bacula-fd
Действия при восстановлении
Сделать это можно, например, непосредственно перед началом восстановления подключившись к компьютеру, на котором выполняется восстановление, через SSH, и выполнив команду:
echo 1 | sudo tee /parsecfs/unsecure_setxattr
Данное разрешение будет действовать до перезагрузки компьютера, однако рекомендуется отозвать разрешение немедленно после завершения восстановления, записав ноль в файл /parsecfs/unsecure_setxattr:
echo 0 | sudo tee /parsecfs/unsecure_setxattr