Fórum Root.cz
Hlavní témata => Server => Téma založeno: R223 18. 03. 2018, 15:42:28
-
Ahoj,
řeším, jak realizovat bezpečnost svých dat. Bezpečnost jak ve smyslu zálohy, tak zabránění jejich neopravněnému získání.
Výchozí situace:
2 pracovní počítatě, cca 100GB citlivých dat (mám podepsáno několik NDA, unik by pro mě mohl být likvidační).
Budu mít 3 různé NASy (asi 1 QNAP, 1 synology, a pka jeden malý obyč DLINK), ve 3 různých lokalitách. Data bych mezi nimi synchorinizoval - např. pro zabránění ztráty v situaci, kdy mi např. vykradou kancl a ukradnou notebooky i NAS.
Jak toto realizovat rámcově vím, i když typ na či zkušenost ocením.
Druhá věc je ošemetnější - v případě krádeže potřebuji zajistit, aby se k datům nikdo nedostal. Nepočítám s cíleným útokem, jako spíš s kráděží nějakou náhodnou fetkou/ciginou atd...
První věc je šifrování partition na notebooku - asi bych to stavěl na veracryptu, mount při bootu. Šifrovat OS je asi zbytečné.
Největší problém je s těmi NASy. Asi by bylo nejvhodnější vytvořit šifrovaný oddíl-složku, ale je otázka, jak to autentifikovat. Před časel jsem dělal projekt (ale nedodělal) malého USB ramdisku, který při pohybu zapomněl data. Jde o to, aby NAS byl schopen nabootuvat po výpadku proudu, ale při odnesení se k datům nikdo nedostal.
Napodlo mě řešení mít klíč na usb flash (a tu třeba na kabelu, někde schovanou-přivázenou ocelovým lankem). Když někdo odenese NAS, flash pravděpodobně zůstane na místě a data jsou chráněna.
Řešil jste někdo něco podobného?
-
Taky mam nejake NDA a sifruji vsechny disky vcetne OS. Je to tak nejak mensi vopruz nez sifrovat jenom neco. Na NAS mam freebsd (potrebuji hodne disku, proto zadny Synology a spol.), kazdy z disku mam sifrovany, kazdy z disku je v nejakem zfs poolu. Vse mam na upsce, pokud vypadne proud na delsi dobu, storage udela shutdown. Boot probehne, k odemceni disku mam skript kde musim zadat heslo manualne (nevadi, reboot delam obvykle jenom u upgrade). NAS se synchronizuje vice-versa s dalsimi v jinych lokalitach kde jsem. Offline zalohy mam na sifrovanych discich a bluray mediich (taky sifrovane) + x krat v cloudu.
-
- NAS i PC zamknout do trezoru
- NAS zalít do betonu (nízké náklady)
- zabetonovat jen tu flešku
- data uložit šifrovaně v cloudu
- serverhousing
-
...
Fakt nevim co vymejslis ... NAS je NAS proto, ze bezi, takze jednou za 1/2 roku pri rebootu/kdyz ti vypnou elektriku zadas heslo.
Sifrova OS naopak treba taky, protoze jinak mas dobrou sanci ze tvoje heslo k sifrovany partysne bude nekde ve swapu a podobne.
-
a na jakém HW to provozujete?
Synology apod jsem taky zavrhl - neumí to ani šifrovat na externí disk(offline zálohy).
-
Offline backup asi není problém.
Chci mít různě rozházené dvoudiskové hotové NASky (mám 1 sysnology, 1 QNAP, 1 DLINK). Výhoda je ve snadnosti konfigurace, spotřebě, hluku, etc....
-
Offline backup asi není problém.
Chci mít různě rozházené dvoudiskové hotové NASky (mám 1 sysnology, 1 QNAP, 1 DLINK). Výhoda je ve snadnosti konfigurace, spotřebě, hluku, etc....
Qnap podporuje pokud vim luks, synology podporuje ecryptfs, dlink netusim...
-
Na stanici/notebook bych koupil SSD s HW šifrováním, bude bez dopadu na výkon a nastavení je poměrně snadné. Nevýhodou je, že odemčený disk se rebootem nezamkne a pokud útočník bootne z jiného zařízení dostane se k obsahu disku.
-
Chci mít různě rozházené dvoudiskové hotové NASky (mám 1 sysnology, 1 QNAP, 1 DLINK). Výhoda je ve snadnosti konfigurace, spotřebě, hluku, etc....
K čemu dvoudiskové?
-
Nevýhodou je, že odemčený disk se rebootem nezamkne a pokud útočník bootne z jiného zařízení dostane se k obsahu disku.
Tak to je urcite to, co hleda. Nehlede na to, ze kdo vi, jake je to sifrovani. Jestli je tak dobre, jako byvalo na plotnovych discich.....
-
můj dotaz:
QNAP - umí šifrovat externí disk takovým způsobem, aby byl čitelný v linuxech?
U Synology je tlak uživatelů, ale nikam se to roky nepohlo.
-
Na stanici/notebook bych koupil SSD s HW šifrováním, bude bez dopadu na výkon a nastavení je poměrně snadné.
https://spritesmods.com/?art=security
http://www.zdnet.com/article/encryption-busted-on-nist-certified-kingston-sandisk-and-verbatim-usb-flash-drives/
https://eprint.iacr.org/2015/1002.pdf
bude bez dopadu na výkon
Snad všechny notebooky vyrobené v posledních 5 letech mají hardwarovou akceleraci AES.
-
můj dotaz:
QNAP - umí šifrovat externí disk takovým způsobem, aby byl čitelný v linuxech?
Tak kdyz to umi luks, jak tu nekdo psal...
-
U Synology jsem se setkal s tím, že jsou tam věci přiohnuté, ne vždy fungují stejně jako v linuxech - proto ta hloupá otázka.
-
Toz, to je mozne, to by tomu ale pak nemeli rikat luks. Ostatne kdyby to byl nejaky Synology luks, tak je lepsi tomu neverit.
-
Toz, to je mozne, to by tomu ale pak nemeli rikat luks. Ostatne kdyby to byl nejaky Synology luks, tak je lepsi tomu neverit.
Synology luks neumi, qnap luks umi. Synology umi sifrovat pres jejich encrypted folders.
-
Synology umi sifrovat pres jejich encrypted folders.
Coz znamena co? Doufam, ze ne nejake sifrovatko, co si zbastlili sami doma na kolene.
-
Synology umi sifrovat pres jejich encrypted folders.
Coz znamena co? Doufam, ze ne nejake sifrovatko, co si zbastlili sami doma na kolene.
Pokud vim tak pouzivaji ecryptfs.
-
Pokud vim tak pouzivaji ecryptfs.
V tom pripade je to nastroj standardne dostupny na Linuxu. Navzdory vyhradam o postranich kanalech by to snad melo byt dost dobre a urcite staci proti nahodnym zlodejum.
-
Na místě tazatele bych se ještě VÁŽNĚ zamyslel nad výběrem oněch hobby NASů - to jsou řešení určené pro prosté burany, které spouštějí jakýsi svůj přiohnutý systém s nadbytečným SW s neznámým počtem dír a kdovíjakými aktualizacemi a omezenou přizpůsobitelností. Osobně považuju i vlastní, zbastlený server s čistým, aktualizovaným Linuxem za spolehlivější, bezpečnější a přizpůsobitelnější.
-
SB: Dobře, asi jsem i ochotný jít do něčeho vlasyního. Máš zkušenost s nějakou hotovou distribucí? Jestli něco opravdu nechci, tak strávit týden se s drbáním s konfigurací?
-
Na místě tazatele bych se ještě VÁŽNĚ zamyslel nad výběrem oněch hobby NASů
Konkrétně k tomu šifrování, např:
http://www.baseline-security.de/downloads/BSC-Qnap_Crypto_Backdoor-CVE-2009-3200.txt
https://packetstormsecurity.com/files/133022/QNAP-Crypto-Key-Disclosure.html
s neznámým počtem dír a kdovíjakými aktualizacemi a omezenou přizpůsobitelností.
# busybox
BusyBox v1.01 (2018.02.14-18:51+0000) multi-call binary
No, a na téhle hyperbugoidní zombie je uflikován v podstatě celý systém... jako za mě teda QNAP už zcela rozhodně nikdy.
-
Ok, jsem otevřený řešit to jinak. Porádíte prosím nějakou alternativu tak, abych se s tím týden nemusel drbat?
-
Kdyz hrabnete do minulych diskusi, tak tohle se tu resi v podstate v jednom kuse. Byvaji tam i doporuceni pro moba a tak, tusim nekdo doporucoval nejake Asrock. Napriklad: https://forum.root.cz/index.php?topic=16349.75 https://forum.root.cz/index.php?topic=11281.0 Nekde zase nekdo doporucoval desky s Atomem. https://forum.root.cz/index.php?topic=4377.0 https://forum.root.cz/index.php?topic=4164.0 Ale jestli potrebujete sifrovani, tak pokud nechcete na vsechno pul dne cekat, tak Atom asi ne. Ledaze byste sifroval na vasem pracovnim stroji vzdalene uloziste na Atomu, to by snad slo, pokud by stihal sypat data dostatecnou rychlosti.
-
fakt těch citlivých dat máš 100GB? já mám pod NDA pár drobností, stačí mi na to 1GB veracrypt file. tenhle šifrovanej soubor si sdílim mezi NASkou, notebookem a desktopem.
Mám skript pro mount/unmount který vedle toho šifrovaného souborů vytváří lock soubor takže script mi nedovolí namountovat to z notebooku a desktopu najednou aby se předešlo konfliktu. NAS si ten šifrovaný kontejnej nemountuje. Dřív jsem to řešil tak, že pro vzdálený přístup a testování nějakých jeho obskurností u zákoše, jsem měl virtuální pc s windows a na jeho disku zapnutej bitlocker, bez zadání hesla to nebootovalo.
-
No, tak tím jsem si prošel taky - nakonec jsem se vrátil zpět k Synology(na které roky nadávám) a na skládačky jsem se vykašlal.
Asrock apod - podívejte se, jakou maji tyhle super ultra levné desky poruchovost. Za malé peníze nic rozumného nesložíte.
Já mám HPE ProLiant MicroServer Gen10(s ECC), na něm CentOS7(+SElinux) - ale jen tam, kde malé NAS nestíhají.
FreeNAS na tom běží taky, ale v tom se mi nechtělo hrabat.
Děravé je všechno - když vás chce někdo dostat, tak vás dostane - je úplně fuk, co budete provozovat.
Malware se s tím dnes nepáře, očuchá síť, stáhne co potřebuje, zašifruje vám i zálohy :D
-
JardaP: HW není problém, spíš mi jde o SW. Vím, že je spousta hotových distribucí, zkoušel jsem FreeNAS, ale moc mě neoslovil (ZFS je na toto overkill a neumí zastavovat disky).
aaaa: Bohužel ano, zabalený projekt má 1-5 GB. Plus hromada NDA dokumentací, a pod.
-
SB: Dobře, asi jsem i ochotný jít do něčeho vlasyního. Máš zkušenost s nějakou hotovou distribucí? Jestli něco opravdu nechci, tak strávit týden se s drbáním s konfigurací?
Pochopil jsem původní dotaz tak, že NASy budou sloužit jako synchronizovaná záloha, což je jedinou věcí, která se po tom chce. Na to stačí minimalistický server s několika úlohami v cronu či službami. https://superuser.com/questions/31512/how-to-synchronize-the-home-folder-between-multiple-computers (https://superuser.com/questions/31512/how-to-synchronize-the-home-folder-between-multiple-computers)
Zkušenost mám pouze s vlastním servříkem doma (na takové to domácí žvýkání; vždy odnože Debianu) a v práci, kdy používám Deja-Dup, nebo lépe Duplicity, což je supr, ale se synchronizací mezi NASy vám neporadím. Každopádně hobby NAS jsem již doma měl, a bylo to peklo - stálo to za hovno a hovno to umělo. To už bych si nedovolil ani na to domácí žvýkání.
-
Já mám zkušenost s obojím. Když použiji standardní linux, budu se drbat jak s prvotní konfigurací, tak za rok, až bude potřeba něco změnit. První takové řešení jsem postavil snad před víc jak 10 lety, ale to sra** s tím bylo vždy stejné. Krom toho šifrování od toho nepotřebuji o moc víc, než umí základá Synology-Qnap. Ideální by byl linux s nějakým připraveným UI pro tento účel, ale s tím nemám zkušenost.
-
Děravé je všechno - když vás chce někdo dostat, tak vás dostane - je úplně fuk, co budete provozovat.
Malware se s tím dnes nepáře, očuchá síť, stáhne co potřebuje, zašifruje vám i zálohy :D
To teda není fuk. Je dost rozdíl, když vám někde běží nějaký připosraný webový server, FTP a další nesmysly, nebo když jedinou službou zvenku je SSH.
Počítám, že vás už někdo dostal. Děkujeme za fundované rady.
-
SB: psal jsem snad o službách, co na tom serveru beží????
Narážím na to, že může skončit u řešení, které je ve výsledku horší než ty NASy.
-
JardaP: HW není problém, spíš mi jde o SW.
No, pokud by slo jen o instalaci nejakeho distra (proboha, Ubuntu ne) a rozchozeni Samby, tak to by snad nebyla takova hruza. Slo by treba i nahodit KDE, pocatecni konfiguraci si naklikat v jejich klikatoru a KDE zase vyhodit.
Pripadne byste na tom mohl mit jen SSH, sync poustet rucne na jeden NAS a pak jen cist mailove zpravy o tom, ze se to spravne synclo na ostatni NASy. Syncoval byste akorat sifrovane uloziste, samozrejme po odmountovani. Sync pres rsync by mel vyhodu v mnozstvi prenasenych dat, coz na Sambe by bylo horsi, zejmena pokud menite velke soubory.
-
JardaP:
Já to nakonfigurovat umím, jenže je to pak přesně to co nechci - týden se s tím budu drbat než to nějak bude fungovat, a až tam po roce budu chtít něco změnit, budu se s tím drbat další týden. Právě mi jde o to se tomuhle vyhnout.
nemá někdo z Vás ozkoušené nějaké hotové OS řešení, kde by alespoň konfigurace základních služeb měla UI?
-
nemá někdo z Vás ozkoušené nějaké hotové OS řešení, kde by alespoň konfigurace základních služeb měla UI?
Jo, máme. NAS4Free. Narozdíl od zbobtnalého FreeNASu s příšerně zabugovaným Pythonem inside je to bez problémů použitelné.
-
Lol Phirae: To vypada dobre. Muzu poprosit o nejake prakticky zkusenosti?
Um9 to, vzhledem k ZFS spidown disku?
-
Um9 to, vzhledem k ZFS spidown disku?
Nevím, tato funkce je pro mně na jakémkoliv NAS a serveru obecně absolutně nežádoucí.
-
Um9 to, vzhledem k ZFS spidown disku?
Je to tak, jak píše Lol: Zastavování disku je špatné, 1. kurví disk více, než když se nechá běžet, 2. roztočení trvá, 3. stejně čas od času Linux na disk něco zapíše, takže by ho stejně pořád spouštěl, takže když by se to špatně sešlo, tak se to bude pořád spouštět a zastavovat.
-
95% času se to nebude používat a disk může být zastavený.
Důvodů k tomu mám několik - některé z těch NASů budou v místech, kde vadí hluk i spotřeba. Když budu tocit těch 8+ disků stále, ročně to sežere 4k úplně zbytečně navíc. 3-5 let to vydrží, pak je postupně vyměním, disky umím kupovat relativně levně.
-
8 disků? To jakože to nebudou jednodiskové NASy? K čemu je to dobré, když jsou vzájemně zálohované, rychlost je omezena sítí a objem dat při verzování bude do 500 GB???
-
95% času se to nebude používat a disk může být zastavený.
Důvodů k tomu mám několik - některé z těch NASů budou v místech, kde vadí hluk i spotřeba. Když budu tocit těch 8+ disků stále, ročně to sežere 4k úplně zbytečně navíc. 3-5 let to vydrží, pak je postupně vyměním, disky umím kupovat relativně levně.
Tech 8 disku sezere rocne kolem 1k Kc v aktivnim stavu. Pokud se porad bavime o 2 diskovm nasu, tak vypinani disku ma smysl, pokud se bavime o nejake vetsim nasu kde je tech 8 a vice disku a treba zfs, tak vypinani disku je kontraproduktivni (riziko vzniku potizi treba kvuli tomu ze nektery disk se bude probouzet delsi dobu nez ostatni a bude vyhozeno z pole).