Fórum Root.cz
Hlavní témata => Server => Téma založeno: miiisak 17. 10. 2019, 05:03:18
-
Dobrý den
byly mi ukradeny tři 4Tb disky původně běžící na synology DS918+ v RAID5. Zajímalo by mě, jak je složité se k datům dostat a vykopírovat je ven..? Jestli si zlodeji musí sehnat úplně stejný server, nebo stačí jakýkoliv server od synology s minimálně třemi šachtami, nebo postačí disky připojit k PC a přes nějaký SW se k datům dostat..? Asi to nemá vliv, ale pro jistotu: účet admin měl složku, o kterou pravdě podobně jde, skrytou a admin byl deaktivován.
Děkuji za odpověď
-
Celkem jednoduše se k nim dostane z PCčka, s Raid5 a ext4 jsem to sám dělal.
Souborová práva ≠ šifrování.
Nicméně, proč by to dělal?
-
Určitě někdo nekrade tři 4Tb disky jen proto, aby je pak levně nabízel lidem na parkovišti u Kauflandu, takže proč by se neměl pokoušet k těm datům dostat?
-
Určitě někdo nekrade tři 4Tb disky jen proto, aby je pak levně nabízel lidem na parkovišti u Kauflandu, takže proč by se neměl pokoušet k těm datům dostat?
Přesně tak, data jsou prostě už přečtena, zanalyzována a případně připravována k využití. Skrytá složka není vůbec skrytá, jen má příznak, že má být skrytá, což ji činí ještě zajímavější k analýze.
Krom toho, že po připojení k běžné linuxové distribuci se data sama připojí a nabídnou k procházení, i na widlích se to dá dost snadno číst.
Mimochodem proč se nedržíte toho, co je na discích napsáno, a místo 4Tb nepíšete prostě 500GB?
-
A proto disky / data obvykle šifrujeme. I když, pravda, ne vždy a všude je to přímočaré řešení. Ale zpět k Vaší otázce. Nijak výrazně složité to není - viz. odpovědi kolegů. Obecně platí jednoduché pravidlo: Čím zajímavější data, tím větší úsilí při jejich získávání.
SCNR - skrytá složka a deaktivovaný uživatel v roce 2019...?
-
Odkud byly ti disky ukradeny?
-
A proto disky / data obvykle šifrujeme. I když, pravda, ne vždy a všude je to přímočaré řešení.
Disky obvykle nešifrujeme. Protože to vyžaduje při každém náběhu klíč a to je proti uživatelskému dojmu. Synology se rebootuje a data nejsou, dokud je někdo neodemkne. To není moc řešení.
Poměrně dobře lze šifrovat koncová zařízení (PC, mobily, ...), kdy přístup ke klíči je chráněn např. v TPM a heslem. Uživatel u zařízení "sedí" a ani mu nepřijde, že zadáním hesla / pinu odšifrovává. U datového storu pro domácnost to ale nevidím jako moc použitelné.
-
Disky obvykle nešifrujeme. Protože to vyžaduje při každém náběhu klíč a to je proti uživatelskému dojmu. Synology se rebootuje a data nejsou, dokud je někdo neodemkne. To není moc řešení.
Pokud je šifrování ochranou proti fyzické krádeži (proti čemu jinému taky?), tak může být klíč někde na http/ssh v LAN. Aneb dokud je disk na svém místě, vše funguje. Pokud jej opustí, fungovat přestane :-) Možná může být i na veřejném netu s whitelistem IP adresy. A logováním+notifikací, pokud se zkusí stáhout odjinud :-)
-
Pokud je šifrování ochranou proti fyzické krádeži (proti čemu jinému taky?), tak může být klíč někde na http/ssh v LAN. Aneb dokud je disk na svém místě, vše funguje. Pokud jej opustí, fungovat přestane :-) Možná může být i na veřejném netu s whitelistem IP adresy. A logováním+notifikací, pokud se zkusí stáhout odjinud :-)
Teoreticky ano. A jak to uděláte prakticky na Synology / QNAPU, což jsou nejčastější domácí nasky?
-
A proto disky / data obvykle šifrujeme. I když, pravda, ne vždy a všude je to přímočaré řešení.
Disky obvykle nešifrujeme.
To musí být krásný a pohodlný život mít bezcenná data :-D
-
To musí být krásný a pohodlný život mít bezcenná data :-D
Ve firmě je daleko větší riziko, že data vynese někdo zevnitř, než že ukradne média.
Ostatně i doma je větší riziko nějakého malwaru, který data krade nebo přepisuje.
Na Synology by to šlo udělat přes iSCSI extent a šifrování nechat na cílovém OS. (Z něj to případně sdílet dál do sítě). Nutno ale počítat s propadem výkonu, iSCSI bude pomalejší než sdílení souborů.
-
Teoreticky ano. A jak to uděláte prakticky na Synology / QNAPU, což jsou nejčastější domácí nasky?
Ty “domácí nasky” mají většinou dlouhý uptime, resp. nezapínají se denně. Řešením by tedy byl USB token pro decrypt. Do dalšího rebootu vyřešeno. Uznávám, že to není ideální, ale pokud se bavíme čistě o bezpečnosti...
Ve firmě je daleko větší riziko, že data vynese někdo zevnitř, než že ukradne média.
Ostatně i doma je větší riziko nějakého malwaru, který data krade nebo přepisuje.
To je pravda (pokud uvažujeme opravdu Enterprise) do určité míry - nutno brát v potaz např. krádeže laptopů atp., kde je šifrování jediným (?) efektivním řešením. Souhlasíte?
-
To je pravda (pokud uvažujeme opravdu Enterprise) do určité míry - nutno brát v potaz např. krádeže laptopů atp., kde je šifrování jediným (?) efektivním řešením. Souhlasíte?
Ano, naprosto.
Tam to řeší 1) TPM, 2) zadání klíče nebo PINU uživatelem, který s laptopem pracuje interaktivně. (Zatímco NASKA leží někde v koutě).
-
Teoreticky ano. A jak to uděláte prakticky na Synology / QNAPU, což jsou nejčastější domácí nasky?
Nevím, jak to šifrování mají udělané.. ale předpokládám, že je tam všude nějaký linux, potom cryptsetup a nastavit sám. Reálně jsem to zkoušel jen na notebooku - klíč stáhne grub a doma bootuje bez hesla :-)
-
Nevím, jak to šifrování mají udělané.. ale předpokládám, že je tam všude nějaký linux, potom cryptsetup a nastavit sám. Reálně jsem to zkoušel jen na notebooku - klíč stáhne grub a doma bootuje bez hesla :-)
To asi není to, co člověk hledá, když si pořídí Synology.
-
Nevím, jak to šifrování mají udělané.. ale předpokládám, že je tam všude nějaký linux, potom cryptsetup a nastavit sám. Reálně jsem to zkoušel jen na notebooku - klíč stáhne grub a doma bootuje bez hesla :-)
To asi není to, co člověk hledá, když si pořídí Synology.
Nj, když chci krabici, tak se musím smířit s tím, co krabice umí nebo neumí. Nebo hledat jinou krabici. Nebo jít cestou nějakého OSS, kde si to donastavím sám :-)
-
byly mi ukradeny tři 4Tb disky původně běžící na synology DS918+ v RAID5. Zajímalo by mě, jak je složité se k datům dostat a vykopírovat je ven..?
pokud ten raid5 byl pouze na tyto 3x4TB (a ne na >=5x4TB), tak SynologyOS(kterej je postavenej nad Linuxem) pouziva pro SW RAID mdadm, tedy vykopirovani dat znamena pripojit je k pc, nainstalovat mdadm a ve spravci souboru vykopirovat data... skrytej admin v rozhrani synology je irelevantni, takto pripojene je kompletni "root" pristup...
-
A proto disky / data obvykle šifrujeme. I když, pravda, ne vždy a všude je to přímočaré řešení.
Disky obvykle nešifrujeme.
To musí být krásný a pohodlný život mít bezcenná data :-D
To si musí každý rozhodnout sám, jestli je pravděpodobnější odcizení a zneužití dat, nebo nějaká havárie a pokus o záchranu - protože je to buď a nebo.
Havárie nevadí, pokud máte naprosto aktuální zálohu (něco jako Time Machine) - ale to prakticky znamená, že takové NASy musíte mít dva, spojené rychlou sítí, ale ne na stejném místě (jinak vám ukradnou oba, že).
Jo, potkal jsem instalaci, kde měli strašně důležitá data, takže šifrovali, a dokonce dvakrát - jednou na Synology (při každém startu zadávali strašně tajné heslo) a podruhé jim to udělal ransomware. No a byli v háji, protože s těmi zálohami to bylo slabší.
-
A proto disky / data obvykle šifrujeme. I když, pravda, ne vždy a všude je to přímočaré řešení.
Disky obvykle nešifrujeme.
To musí být krásný a pohodlný život mít bezcenná data :-D
To si musí každý rozhodnout sám, jestli je pravděpodobnější odcizení a zneužití dat, nebo nějaká havárie a pokus o záchranu - protože je to buď a nebo.
Havárie nevadí, pokud máte naprosto aktuální zálohu (něco jako Time Machine) - ale to prakticky znamená, že takové NASy musíte mít dva, spojené rychlou sítí, ale ne na stejném místě (jinak vám ukradnou oba, že).
Jo, potkal jsem instalaci, kde měli strašně důležitá data, takže šifrovali, a dokonce dvakrát - jednou na Synology (při každém startu zadávali strašně tajné heslo) a podruhé jim to udělal ransomware. No a byli v háji, protože s těmi zálohami to bylo slabší.
Tak pokud nezálohuješ, tak je snad lepší si ta data rovnou smazat sám, ať to máš beze stresu ;)
Každopádně každé spoléhání na "pokus o záchranu" je naopak záruka stresu a kopce peněz navíc.
-
Pokud si pamatuji dobře, tak u Synology se šifrují vybranné složky a ne celý disk. Takže to normálně nabootuje a složka se pak klidně nechá vzdáleně namontovat přes GUI. Pokud máte UPS, tak to není zas takový problém.
-
To si musí každý rozhodnout sám, jestli je pravděpodobnější odcizení a zneužití dat, nebo nějaká havárie a pokus o záchranu - protože je to buď a nebo.
Mně není jasné, jaký je scénář pokusů o záchranu, které FDE komplikuje. Jediné co mě napadá je poškození začátku disku a tedy hlavičky - ale hlavička je neměnná po celou životnost, takže k její obnově není potřeba aktuální záloha, stačí jakkoli stará.
-
Neco takoveho jsem take resil, potreboval jsem dostat data z raid disku, kdyz probihala likvidace odchazejiciho serveru. Byly to ale moje data, disk jsem samozrejme nekradl.
Ale dava to odpoved na otazku a bohuzel moc nepotesim - kdyz jsem pripojil disk kabelem, musel jsem nainstalovat neco, co dany format disku precte (klasicky Ubuntu tento format disku nezna-neprecte, musis neco doinstalovat). A pak jsem data z disku precetl OK, zadne velke usili.
Pokud mas citiliva data na disku-stroji, ktery ti muze nekdo ukract, doporucuji sifrovavi. Systemovy disk-partiion serveru sifrovat nemuzes, jinak bys primo na miste serveru musel pri statru zadat heslo. Datove partition sifrovat muzes v pohode i na serveru. Jak je to u NAS-Synology, to uz si nejsem jisty, jestli je to samostatny server.
Pokud nejde o uchraneni dat pred kradezi, ale zachranu dat, tak zalohuji prez rsync na dve odisna mista (georgaficky), pak jsou data zachranena ne jen kdyz odejde disk, ale i pri povodni-pozaru serverovny.
rsync -ahvc -e ssh --delete --progress ZDROJ CIL
Mezi cilovou a zdrojovou slozkou to porovnava pomoci kontrolnich souctu (kdyz das misto -ahvc jen -ahv, tak to kontroluje podl datumu verze souboru), smaze to vse, co neni ve zdroji, v cili ano. Takze data v cili zbytecne nenarustaji, ale musis si dat sakra pozor na spravne nastaveni cile a zdroje a hlavne to neprohodit.
-
[...] kdyz jsem pripojil disk kabelem, musel jsem nainstalovat neco, co dany format disku precte (klasicky Ubuntu tento format disku nezna-neprecte, musis neco doinstalovat) [...]
predpokladam ze neslo o necitelnej format, ale o doinstalovani balicku mdadm kterej slouzi pro zpristupneni/zpravu linux sw raidu...
[...] Systemovy disk-partiion serveru sifrovat nemuzes, jinak bys primo na miste serveru musel pri statru zadat heslo [...]
na miste bys nemusel byt, je vice moznosti, napr. balicek dropbear-initramfs pridava ssh server do initrd, takze pri bootu muzes se na server pripojit a zadat luks heslo, nebo mit keyfile pro odemceni na usbflash nebo na lokalni siti... "akorat" to vyzaduje nesifrovanej /boot nebo lepe pouzit sicherboot s (pouze)vlastnima klicema v UEFI kterejma to mas podepsane... v pripade auto odemceni s keyfile je pak potreba aby nikdo nemel pristup k te usbflash nebo k tomu ulozistni na siti kde by byl...
-
Synology používá madm (Linux SoftRAID) nad tím LVM a volitelně ext4 nebo btrfs.
První partition obsahuje systém v RAIDu1 následuje swap taktéž v RAIDu1 (všechny disky by měly být obsahem totožné).
Celkem logicky aby když nějaký vytrhnete nic se nestalo. Systém tedy může být zálohován klidně 6x.
Ty je možné klidně ignorovat. Ten RAID by měl být sestavený nad partition 3.
Jo pokud to bude hybridní RAID, tak se situace komplikuje, tam jsou vytvořené kombinace RAID1 a RAID5 nebo 6.
V linuxu je tedy připojení docela jednoduché... rekonstruovat RAID nad partition 3 v LVM pak už bude souborový systém.
-
Disky obvykle nešifrujeme. Protože to vyžaduje při každém náběhu klíč a to je proti uživatelskému dojmu. Synology se rebootuje a data nejsou, dokud je někdo neodemkne. To není moc řešení.
Ona ta "sekurita" většinou není jednoduchá a ani pohodlná. Tak to prostě je.
-
k3dAR
Presne tak, neslo o necitelny format, ale doinstalovani balicku pro spravu linux sw raidu, data citelna byla, kdyz disk neni sifrovan.
Zadat heslo pro systemovy disk by taky melo jit jinak, nez primo na miste, v tom se ale uz nevyznam. A pak taky mit hlidane to misto, odkud se klic-heslo zadava.