Jump to content
Калькуляторы

Софтовый NAS+Шифрование

Колеги подскажите сталкивался кто нибудь с таким решением, FreeNAS и Nas4Free можете не советовать, там это очень криво реализовано. Synology не подходит ибо проприетарщина.

Изначально задача стоит что бы собрать сервер на котором будут храниться бекапы, хотелось бы что бы все это дело было зашифровано какой нибудь парольной фразой, что бы если сервер попаедт в чужие руки, что бы не возможно было считать данные.

Share this post


Link to post
Share on other sites

man geom_eli

man geli

Читаешь между строк?

Share this post


Link to post
Share on other sites

Криптованного раздела будет недостаточно?

Share this post


Link to post
Share on other sites

проще всего шифровать с помощью gpg на севрере где деается бэкап, а потом уже сливать файлы бэкапа хоть на свой сервер, хоть на яндекс, хоть на гугл

Share this post


Link to post
Share on other sites
Читаешь между строк?

Нет, к чему вопрос?

Share this post


Link to post
Share on other sites

Скачал последний образ FreeNAS, появилась возможность блокировать ZFS pool ключем. После перезагрузки что бы снять блокировку с пула нужно скормить ключ. Данная реализация устраивает более чем.

Share this post


Link to post
Share on other sites

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

Share this post


Link to post
Share on other sites

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

Думал за шифрование локальной файловой системы. И тут есть 3 минуса

1. Возрастет нагрузка на процессор

2. Упадет производительность ВМ

3. Можно забыть про гранулярные бекапы.

Share this post


Link to post
Share on other sites

сейчас для для похожих целей разрабатываем программу которая шифрует и бекапит на удалённый сервер используя публичные файл обменики DropBox, Yandex, Google

 

cudloader (http://abills.net.ua/wiki/doku.php/abills:docs:manual:other:cudloader:ru)

Share this post


Link to post
Share on other sites

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

 

Ну, если украдут тазик, тоже умрет всё. :)

 

PS За, уже, не первый десяток лет еще ни разу не ломалась. Чаще пытались обчистить контору.

Share this post


Link to post
Share on other sites

Ну, если украдут тазик, тоже умрет всё. :)

Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники.

Share this post


Link to post
Share on other sites

Ну, если украдут тазик, тоже умрет всё. :)

Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники.

 

Хороший совет. Вы, по сути, цитируете инструкцию к моему биллингу, которую я писал в молодости много лет назад, по поводу географического выноса бекапов, как минимум, в другое здание. Ничего с тех пор не изменилось, инструкция актуальна.

Share this post


Link to post
Share on other sites

Неполноценны все системы, на которых бэкапы формируются на боевых серверах. При компрометации боевого сервера ключи шифрования и бэкапы также компрометируются. Это недопустимо.

 

 

FATHER_FBI,

 

На линуксе это выглядит примерно так:

 

$ ssh root@host 'tar -cpzf - /' | gpg --encrypt --recipient pgpuser@email.com > /var/backups/backup.tar.gz.gpg

 

gpg-agent позволит один раз ввести пароль и пока включен сервер не вводить при бэкапе пароль от ключа шифрования.

 

Файл после этого желательно отослать в несколько мест.

 

Берегите ключи!

Share this post


Link to post
Share on other sites

Неполноценны все системы, на которых бэкапы формируются на боевых серверах.

Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест. В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы.

Share this post


Link to post
Share on other sites

Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест.

Спасибо, что пересказали мой пост.

 

В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы.

Так делать не надо. В моем примере пароль вообще не требуется, если не создавать ключей.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this