Jump to content
Калькуляторы

Софтовый NAS+Шифрование

Колеги подскажите сталкивался кто нибудь с таким решением, FreeNAS и Nas4Free можете не советовать, там это очень криво реализовано. Synology не подходит ибо проприетарщина.

Изначально задача стоит что бы собрать сервер на котором будут храниться бекапы, хотелось бы что бы все это дело было зашифровано какой нибудь парольной фразой, что бы если сервер попаедт в чужие руки, что бы не возможно было считать данные.

Share this post


Link to post
Share on other sites

проще всего шифровать с помощью gpg на севрере где деается бэкап, а потом уже сливать файлы бэкапа хоть на свой сервер, хоть на яндекс, хоть на гугл

Share this post


Link to post
Share on other sites

Скачал последний образ FreeNAS, появилась возможность блокировать ZFS pool ключем. После перезагрузки что бы снять блокировку с пула нужно скормить ключ. Данная реализация устраивает более чем.

Share this post


Link to post
Share on other sites

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

Share this post


Link to post
Share on other sites

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

Думал за шифрование локальной файловой системы. И тут есть 3 минуса

1. Возрастет нагрузка на процессор

2. Упадет производительность ВМ

3. Можно забыть про гранулярные бекапы.

Share this post


Link to post
Share on other sites

сейчас для для похожих целей разрабатываем программу которая шифрует и бекапит на удалённый сервер используя публичные файл обменики DropBox, Yandex, Google

 

cudloader (http://abills.net.ua/wiki/doku.php/abills:docs:manual:other:cudloader:ru)

Share this post


Link to post
Share on other sites

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

 

Ну, если украдут тазик, тоже умрет всё. :)

 

PS За, уже, не первый десяток лет еще ни разу не ломалась. Чаще пытались обчистить контору.

Share this post


Link to post
Share on other sites

Ну, если украдут тазик, тоже умрет всё. :)

Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники.

Share this post


Link to post
Share on other sites

Ну, если украдут тазик, тоже умрет всё. :)

Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники.

 

Хороший совет. Вы, по сути, цитируете инструкцию к моему биллингу, которую я писал в молодости много лет назад, по поводу географического выноса бекапов, как минимум, в другое здание. Ничего с тех пор не изменилось, инструкция актуальна.

Share this post


Link to post
Share on other sites

Неполноценны все системы, на которых бэкапы формируются на боевых серверах. При компрометации боевого сервера ключи шифрования и бэкапы также компрометируются. Это недопустимо.

 

 

FATHER_FBI,

 

На линуксе это выглядит примерно так:

 

$ ssh root@host 'tar -cpzf - /' | gpg --encrypt --recipient pgpuser@email.com > /var/backups/backup.tar.gz.gpg

 

gpg-agent позволит один раз ввести пароль и пока включен сервер не вводить при бэкапе пароль от ключа шифрования.

 

Файл после этого желательно отослать в несколько мест.

 

Берегите ключи!

Share this post


Link to post
Share on other sites

Неполноценны все системы, на которых бэкапы формируются на боевых серверах.

Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест. В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы.

Share this post


Link to post
Share on other sites

Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест.

Спасибо, что пересказали мой пост.

 

В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы.

Так делать не надо. В моем примере пароль вообще не требуется, если не создавать ключей.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.