Перейти к содержимому
Калькуляторы

Софтовый NAS+Шифрование

Колеги подскажите сталкивался кто нибудь с таким решением, FreeNAS и Nas4Free можете не советовать, там это очень криво реализовано. Synology не подходит ибо проприетарщина.

Изначально задача стоит что бы собрать сервер на котором будут храниться бекапы, хотелось бы что бы все это дело было зашифровано какой нибудь парольной фразой, что бы если сервер попаедт в чужие руки, что бы не возможно было считать данные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

man geom_eli

man geli

Читаешь между строк?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Криптованного раздела будет недостаточно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

проще всего шифровать с помощью gpg на севрере где деается бэкап, а потом уже сливать файлы бэкапа хоть на свой сервер, хоть на яндекс, хоть на гугл

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Читаешь между строк?

Нет, к чему вопрос?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Скачал последний образ FreeNAS, появилась возможность блокировать ZFS pool ключем. После перезагрузки что бы снять блокировку с пула нужно скормить ключ. Данная реализация устраивает более чем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

Думал за шифрование локальной файловой системы. И тут есть 3 минуса

1. Возрастет нагрузка на процессор

2. Упадет производительность ВМ

3. Можно забыть про гранулярные бекапы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сейчас для для похожих целей разрабатываем программу которая шифрует и бекапит на удалённый сервер используя публичные файл обменики DropBox, Yandex, Google

 

cudloader (http://abills.net.ua/wiki/doku.php/abills:docs:manual:other:cudloader:ru)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучше локально шифровать то, что нужно, и потом заливать куда угодно. Если поломается удалённая криптованая файловая система - внезапно умрёт всё.

 

Ну, если украдут тазик, тоже умрет всё. :)

 

PS За, уже, не первый десяток лет еще ни разу не ломалась. Чаще пытались обчистить контору.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, если украдут тазик, тоже умрет всё. :)

Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну, если украдут тазик, тоже умрет всё. :)

Кого украдут - Google Drive и т. п. сервисы? Не кладите бекапы в одну корзину, не оставляйте корзину рядом с сервером. Нужно быть готовым к тому, что сгорит ваша серверная или даже здание, но бекапы останутся. Последующее восстановление будет лишь делом техники.

 

Хороший совет. Вы, по сути, цитируете инструкцию к моему биллингу, которую я писал в молодости много лет назад, по поводу географического выноса бекапов, как минимум, в другое здание. Ничего с тех пор не изменилось, инструкция актуальна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неполноценны все системы, на которых бэкапы формируются на боевых серверах. При компрометации боевого сервера ключи шифрования и бэкапы также компрометируются. Это недопустимо.

 

 

FATHER_FBI,

 

На линуксе это выглядит примерно так:

 

$ ssh root@host 'tar -cpzf - /' | gpg --encrypt --recipient pgpuser@email.com > /var/backups/backup.tar.gz.gpg

 

gpg-agent позволит один раз ввести пароль и пока включен сервер не вводить при бэкапе пароль от ключа шифрования.

 

Файл после этого желательно отослать в несколько мест.

 

Берегите ключи!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неполноценны все системы, на которых бэкапы формируются на боевых серверах.

Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест. В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну так ни кто не мешает вытягивать бекапы на промежуточную машину просто по ssh с авторизацией по ключам. Потом шифровать и заливать в несколько мест.

Спасибо, что пересказали мой пост.

 

В качестве шифра мне нравится md5 от известной лишь админу фразы. Шифр невозможно запомнить, но очень легко сгенерить с головы.

Так делать не надо. В моем примере пароль вообще не требуется, если не создавать ключей.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.