FATHER_FBI Posted July 7, 2015 Posted July 7, 2015 Колеги подскажите сталкивался кто нибудь с таким решением, FreeNAS и Nas4Free можете не советовать, там это очень криво реализовано. Synology не подходит ибо проприетарщина. Изначально задача стоит что бы собрать сервер на котором будут храниться бекапы, хотелось бы что бы все это дело было зашифровано какой нибудь парольной фразой, что бы если сервер попаедт в чужие руки, что бы не возможно было считать данные. Вставить ник Quote
FATHER_FBI Posted July 7, 2015 Author Posted July 7, 2015 man geom_eli man geli Читаешь между строк? Вставить ник Quote
vop Posted July 7, 2015 Posted July 7, 2015 Криптованного раздела будет недостаточно? Вставить ник Quote
s.lobanov Posted July 7, 2015 Posted July 7, 2015 проще всего шифровать с помощью gpg на севрере где деается бэкап, а потом уже сливать файлы бэкапа хоть на свой сервер, хоть на яндекс, хоть на гугл Вставить ник Quote
Ivan_83 Posted July 7, 2015 Posted July 7, 2015 Читаешь между строк? Нет, к чему вопрос? Вставить ник Quote
FATHER_FBI Posted July 7, 2015 Author Posted July 7, 2015 Скачал последний образ FreeNAS, появилась возможность блокировать ZFS pool ключем. После перезагрузки что бы снять блокировку с пула нужно скормить ключ. Данная реализация устраивает более чем. Вставить ник Quote
adsh Posted July 7, 2015 Posted July 7, 2015 Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё. Вставить ник Quote
FATHER_FBI Posted July 8, 2015 Author Posted July 8, 2015 Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё. Думал за шифрование локальной файловой системы. И тут есть 3 минуса 1. Возрастет нагрузка на процессор 2. Упадет производительность ВМ 3. Можно забыть про гранулярные бекапы. Вставить ник Quote
~AsmodeuS~ Posted July 8, 2015 Posted July 8, 2015 сейчас для для похожих целей разрабатываем программу которая шифрует и бекапит на удалённый сервер используя публичные файл обменики DropBox, Yandex, Google cudloader (http://abills.net.ua/wiki/doku.php/abills:docs:manual:other:cudloader:ru) Вставить ник Quote
vop Posted July 8, 2015 Posted July 8, 2015 Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё. Ну, если украдут тазик, тоже умрет всё. :) PS За, уже, не первый десяток лет еще ни разу не ломалась. Чаще пытались обчистить контору. Вставить ник Quote
adsh Posted July 8, 2015 Posted July 8, 2015 Ну, если украдут тазик, тоже умрет всё. :) Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники. Вставить ник Quote
vop Posted July 8, 2015 Posted July 8, 2015 Ну, если украдут тазик, тоже умрет всё. :) Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники. Хороший совет. Вы, по сути, цитируете инструкцию к моему биллингу, которую я писал в молодости много лет назад, по поводу географического выноса бекапов, как минимум, в другое здание. Ничего с тех пор не изменилось, инструкция актуальна. Вставить ник Quote
nu11 Posted July 8, 2015 Posted July 8, 2015 Неполноценны все системы, на которых бэкапы формируются на боевых серверах. При компрометации боевого сервера ключи шифрования и бэкапы также компрометируются. Это недопустимо. FATHER_FBI, На линуксе это выглядит примерно так: $ ssh root@host 'tar -cpzf - /' | gpg --encrypt --recipient pgpuser@email.com > /var/backups/backup.tar.gz.gpg gpg-agent позволит один раз ввести пароль и пока включен сервер не вводить при бэкапе пароль от ключа шифрования. Файл после этого желательно отослать в несколько мест. Берегите ключи! Вставить ник Quote
adsh Posted July 8, 2015 Posted July 8, 2015 Неполноценны все системы, на которых бэкапы формируются на боевых серверах. Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест. В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы. Вставить ник Quote
nu11 Posted July 9, 2015 Posted July 9, 2015 Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест. Спасибо, что пересказали мой пост. В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы. Так делать не надо. В моем примере пароль вообще не требуется, если не создавать ключей. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.