FATHER_FBI Опубликовано 7 июля, 2015 · Жалоба Колеги подскажите сталкивался кто нибудь с таким решением, FreeNAS и Nas4Free можете не советовать, там это очень криво реализовано. Synology не подходит ибо проприетарщина. Изначально задача стоит что бы собрать сервер на котором будут храниться бекапы, хотелось бы что бы все это дело было зашифровано какой нибудь парольной фразой, что бы если сервер попаедт в чужие руки, что бы не возможно было считать данные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 июля, 2015 · Жалоба man geom_eli man geli Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 7 июля, 2015 · Жалоба man geom_eli man geli Читаешь между строк? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 7 июля, 2015 · Жалоба Криптованного раздела будет недостаточно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июля, 2015 · Жалоба проще всего шифровать с помощью gpg на севрере где деается бэкап, а потом уже сливать файлы бэкапа хоть на свой сервер, хоть на яндекс, хоть на гугл Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 июля, 2015 · Жалоба Читаешь между строк? Нет, к чему вопрос? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 7 июля, 2015 · Жалоба Скачал последний образ FreeNAS, появилась возможность блокировать ZFS pool ключем. После перезагрузки что бы снять блокировку с пула нужно скормить ключ. Данная реализация устраивает более чем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adsh Опубликовано 7 июля, 2015 · Жалоба Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 8 июля, 2015 · Жалоба Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё. Думал за шифрование локальной файловой системы. И тут есть 3 минуса 1. Возрастет нагрузка на процессор 2. Упадет производительность ВМ 3. Можно забыть про гранулярные бекапы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
~AsmodeuS~ Опубликовано 8 июля, 2015 · Жалоба сейчас для для похожих целей разрабатываем программу которая шифрует и бекапит на удалённый сервер используя публичные файл обменики DropBox, Yandex, Google cudloader (http://abills.net.ua/wiki/doku.php/abills:docs:manual:other:cudloader:ru) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 8 июля, 2015 · Жалоба Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё. Ну, если украдут тазик, тоже умрет всё. :) PS За, уже, не первый десяток лет еще ни разу не ломалась. Чаще пытались обчистить контору. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adsh Опубликовано 8 июля, 2015 · Жалоба Ну, если украдут тазик, тоже умрет всё. :) Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vop Опубликовано 8 июля, 2015 · Жалоба Ну, если украдут тазик, тоже умрет всё. :) Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники. Хороший совет. Вы, по сути, цитируете инструкцию к моему биллингу, которую я писал в молодости много лет назад, по поводу географического выноса бекапов, как минимум, в другое здание. Ничего с тех пор не изменилось, инструкция актуальна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 8 июля, 2015 · Жалоба Неполноценны все системы, на которых бэкапы формируются на боевых серверах. При компрометации боевого сервера ключи шифрования и бэкапы также компрометируются. Это недопустимо. FATHER_FBI, На линуксе это выглядит примерно так: $ ssh root@host 'tar -cpzf - /' | gpg --encrypt --recipient pgpuser@email.com > /var/backups/backup.tar.gz.gpg gpg-agent позволит один раз ввести пароль и пока включен сервер не вводить при бэкапе пароль от ключа шифрования. Файл после этого желательно отослать в несколько мест. Берегите ключи! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adsh Опубликовано 8 июля, 2015 · Жалоба Неполноценны все системы, на которых бэкапы формируются на боевых серверах. Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест. В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nu11 Опубликовано 9 июля, 2015 · Жалоба Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест. Спасибо, что пересказали мой пост. В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы. Так делать не надо. В моем примере пароль вообще не требуется, если не создавать ключей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...