Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Kategoria: Kamery IP / Alarmy / Automatyka Bram
Montersi
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Zwiększanie bezpieczeństwa NAS na RPi

ghost666 08 Sty 2017 22:16 10212 13
  • Zwiększanie bezpieczeństwa NAS na RPi
    W poniższym poradniku opiszemy, jak wykorzystać Raspbian Lite OS jako NAS z dwoma dyskami 320 GB Western Digital Pi Drives spiętymi w macierz RAID-1. Następnie przyjrzymy się jak poprawić wydajność takiego systemu wykorzystując do tego narzędzia takie jak np. Docker.

    Czy Raspberry Pi nadaje się do budowy NAS? oto kilka argumentów

    Przeciwko:
    * Słabe I/O - brak SATA, ograniczone pasmo USB.
    * Brak RAMu ECC
    * Nie nadaje się pod ZFS
    * Zawodne bootowanie z karty SD.

    Za:
    * Bardzo niski koszt zakupu i działania 24/7 z uwagi na niskie wymagania co do zasilania.
    * Przenośny - można go nawet zasilać z baterii.
    * Łatwo do instalacji z wykorzystaniem dostępnych narzędzi.
    * Dobra wprawka i nauka dla DevOpsingu
    * Pozwala na szkolenie swoich umiejętności technicznych i sieciowych już za 5..25 dolarów.

    Wymagania wstępne:
    * Domyślny podstawowy Raspbian OS - taki system jest bezpieczniejszy i zapewnia nam o wiele więcej kontroli nad komputerem niż dedykowany obraz pobrany z jakiejś, ciężko słabo zadokumentowanej, strony itp.
    * Wykorzystanie programowego RAID-1 dla redundancji dysków
    * Rekonfigurowany Docker, który będzie przechowywał swoje dane w macierzy RAID - da nam do poprawę wydajności systemu, dzięki pominięciu karty SD.
    * Co najmniej jedna usługa udostępniania danych w sieci: Samba (łatwa do obsłużenia dla Windowsów, ale o słabej wydajności, FTP (dobra wydajność, ale brak szyfrowania), SSH/SFTP/SCP (bezpieczne i wbudowane niemalże w każdy Linux lub inny system oparty na Unixie). BFS (nieszyfrowany, ale szybszy niż Samba dla klientów Unixowych; może zostać podmontowany po sieci jako dysk lokalny),
    * Możliwość robienia kopii zapasowych przez rsync. Temu zagadnieniu nie przyjrzymy się zbyt dokładnie, ale zaprezentowana zostanie integracja rsynca z NFS i SSH.

    Potrzebny sprzęt
    2 x Dysk Western Digital 314 GB PiDrive lub podobny.
    3 x Zasilacz 5 V, 2 A każdy.
    1 x Komputer Raspoberry Pi 2 lub Pi 3.
    1 x Karta SD.

    W poniższym przykładzie wykorzystane zostaną dwa dyski WD Pi Drive po 314 GB (jak 3,14 - liczba pi). Dyski te dostępne są także w wersji o pojemności 1 GB. Każdy z dysków będzie niezależnie zasilany z własnego zasilacza USB poprzez dedykowany kabel typu Y, dostarczany przez producenta. Trzeci zasilacz podłączony będzie do RPi.

    Zwiększanie bezpieczeństwa NAS na RPi


    Warto zadbać, aby zasilacze miały dobrą wydajność prądową. Rekomenduje się wykorzystanie oficjalnych zasilaczy o wydajności 2,4 A.

    Zmiany w instalacji i uruchamianie NASa

    Najpierw dodać musimy nowego użytkownika do systemu i skasować domyślne konto pi - poprawi to bezpieczeństwo działania układu. W konsoli piszemy na przukład:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Użytkownik dodany został do grupy sudo, aby mógł korzystać z zwiększonych uprawnień. Nadal konieczne będzie podawanie za każdym razem hasła. To zachowanie kontrolowane jest w linii:

    Code:
    # Allow members of group sudo to execute any command
    
    %sudo    ALL=(ALL:ALL) ALL


    Jeśli chcemy wyłączyć pytanie o hasło, to możemy zmienić powyższy wpis na:

    Code:
    # Allow members of group sudo to execute any command
    
    %sudo    ALL=(ALL) NOPASSWD: ALL


    Po stworzeniu nowego użytkownika i nadaniu mu hasła możemy się przelogować i usunąć domyślne konto:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Optymalizacja pracy GPU i podziału pamięci

    Poniższe zabiegi pozwolą na optymalizację podziału pamięci w systemie. Konieczny będzie reset po drodze, aby sprawdzić efekty. Najpierw wpisujemy komendę, która pozwoli nam sprawdzić ilość wolnej pamięci RAM:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Zmiany dodajemy wpisując:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Po resecie możemy ponownie sprawdzić ilość wolnej pamięci RAM.

    Zmiana nazwy hosta

    Musimy zmienić nazwę hosta naszego NASa. Wykorzystujemy edytor, np. nano, do zmiany w /etc/hosts i /etc/hostname po czym resetujemy komputer.

    Konfiguracja statycznego adresu IP dla RPi

    Raspberry Pi najpewniej otrzyma z serwera DHCP w routerze numer IP. Dobrze jest przypisać komputerowi stałe IP. Musimy wybrać jakieś IP - najlepiej dosyć wysokie, aby mieć pewność, że nie zostanie przydzielone innemu urządzeniu. Czy dane IP jet wolne możemy sprawdzić pingając je:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Teraz w etc/dhcpcd.conf dodajemy następujący wpis (upewniając się czy nasz router w sieci nadaje IP w zakresie 192.168.0.0/24 czy w 192.168.1.0/24):

    Code:
    interface eth0  
    
    static ip_address=192.168.0.240/24 
    static routers=192.168.0.1 
    static domain_name_servers=8.8.8.8


    Możemy teraz zresetować Komputer. Podany powyżej DNS pochodzi od Google.

    Wyłączenie logowania hasłem po SSH

    Przy odpowiednio długim czasie i słabym haśle możliwe jest brute-forceowe uzyskanie dostępu poprzez SSH do naszego Raspberry Pi. Dlatego też warto wyłączyć ro zagrożenie, tak aby nie możliwe było logowanie loginem i hasłem, a konieczne było wykorzystanie pliku z kluczem.

    najpierw korzystając z ssh-keygen generujemy klucz (z domyślnymi parametrami), następnie kopiujemy go na Raspberry Pi przy pomocy ssh-copy-id. Teraz możemy już zalogować się poprzez SSH na naszą maszynę bez konieczności podawania hasła i loginu.

    Teraz dodać musimy w pliku konfiguracyjnym SSHD linijkę:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    I już możemy zresetować komputer, aby sprawdzić czy zdalny dostęp po SSH działa poprawnie.

    Odetnij się od Internetu

    Internet to niebezpieczne miejsce. Najlepiej jest odizolować nasz NAS od ogólnodostępnej przestrzeni. Nawet jeżeli system jest poprawnie zabezpieczony, to odpieranie ataków będzie zabierało czas procesora.

    Jeśli jednak chcemy sprawdzić czy to co napisano powyżej to prawda, to możemy wystawić na świat (poza NAT) port 22 do logowania po SSH. Możemy po jakimś czasie sprawdzić logi SSH, aby zobaczyć czy i ile zostało przeprowadzonych ataków:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Analogicznie, aby sprawdzić logi demona Dockera, zamiast sshd wpisujemy dockerd.

    Instalacja macierzy RAID

    Teraz możemy podpiąć dyski twarde do zasilania oraz do komputera. W pierwszej kolejności musimy zidentyfikować dyski w systemie. Najlepiej komendą lsblk:

    Code:
    NAME        MAJ:MIN RM   SIZE RO TYPE MOUNTPOINT  
    
    sda           8:0    0 292.5G  0 disk 
    └─sda1        8:1    0 292.5G  0 part
    sdb           8:16   0 292.5G  0 disk 
    └─sdb1        8:17   0 292.5G  0 part
    mmcblk0     179:0    0  14.9G  0 disk 
    ├─mmcblk0p1 179:1    0    63M  0 part /boot
    └─mmcblk0p2 179:2    0  14.8G  0 part /


    Podłączone dyski oznaczone zostały sda i sdb; karta SD ro mmcblk0.

    Tworzenie partycji

    Teraz tworzymy na obu dyskach partycje z wykorzystaniem fdisk. Korzystamy z poniższego opisu:

    Code:
    sudo fdisk /dev/sda
    

    Welcome to fdisk (util-linux 2.25.2). 
    Changes will remain in memory only, until you decide to write them. 
    Be careful before using the write command.


    Command (m for help): o 
    Created a new DOS disklabel with disk identifier 0x6624690f.

    Command (m for help): n 
    Partition type 
       p   primary (0 primary, 0 extended, 4 free)
       e   extended (container for logical partitions)
    Select (default p):

    Using default response p. 
    Partition number (1-4, default 1): 
    First sector (2048-613355519, default 2048): 
    Last sector, +sectors or +size{K,M,G,T,P} (2048-613355519, default 613355519):

    Created a new partition 1 of type 'Linux' and of size 292.5 GiB.

    Command (m for help): w 
    The partition table has been altered. 
    Calling ioctl() to re-read partition table. 
    Syncing disks. 


    Analogicznie postępujemy dla drugiego dysku (sdb).

    Instalacja narzędzi do RAID

    Do zestawienia macierzy wykorzystujemy oprogramowanie mdadm, które instalujemy wpisując:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Po instalacji pojawi się niebieski ekran z kilkoma pytaniami - na wszystkie odpowiadamy twierdząco (yes).

    Tworzenie macierzy RAID-1

    W konsoli wpisujemy:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Macierz pojawi się jako /dev/md0, które możemy zamontować:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Aby dyski były zamontowane na stałe musimy dodać je do fstab-a:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Przed resetem pozostało nam jedynie aktualizować plik konfiguracyjny mdadm:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Docker

    Dockera na Raspberry Pi instaluje się jednym skryptem. Po co Docker? Jak twierdzą eksperci aplikacje oparte na kontenerach są bezpieczniejsze. Aby zainstalować Dockera wpisujemy w konsoli:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Następnie poprzez CLI musimy dodać dostęp naszemu użytkownikowi do demona Dockerowego, aby nie było konieczne pisanie każdej komendy z sudo z przodu:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    Teraz przystąpić możemy do edytowania Dockerowego systemd, aby wykorzystywał on macierz RAID. Kluczowym jest wpisanie -g /mnt/raid1/ co poinformuje Dockera, że tej lokalizacji ma używać. Edytujemy plik etc/systemd/system/docker.service.d/overlay.conf:

    Code:
    [Service]
    
    ExecStart= 
    ExecStart=/usr/bin/dockerd -g /mnt/raid1/ --storage-driver overlay -H fd://'


    A następnie resetujemy komputer.

    Wzmocnienie zabezpieczeń

    Teraz przystąpić możemy do poprawy zabezpieczeń naszego systemu wykorzystując profile Seccomp, AppArmor czy SELinux. Aby zwiększyć poziom zabezpieczeń można część lub nawet wszystkie usługi systemowe realizować przez kontenery Dockera. Zapewnia to powtarzalne i izolowane środowisko.

    Jeśli jesteśmy zaawansowanym użytkownikiem możemy do poprawy działania usług systemowych w Dockerze wykorzystać profile Seccomp, aktywując je z pomocą parametru --security-opt. Więcej poczytać o tym możemy na blogu Dockera tutaj oraz tutaj .

    Kopie zapasowe

    Do realizacji kopii zapasowych wykorzystamy rsync. Dzięki temu będziemy mogli synchronizować różne foldery w sieci na naszym NAS, robiąc kopie zapasowe. Rsync wykorzystuje do pracy NFS lub SSH, a zainstalować go można np. z pomocą apt-get. Następnie, wystarczy w terminalu wpisać:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    aby skopiować zdalną lokalizację poprzez NFS, albo też:

    Kod: bash
    Zaloguj się, aby zobaczyć kod


    by skopiować ją przez SSH.

    Podsumowanie

    Raspberry Pi z programowym RAIDem nie jest może idealną platformą na NAS, jako że nie jest to najszybszy system, ale nie jest to rozwiązanie bez sensu. Szczególnie, że zastosowanie dysków mechanicznych daje nam istotnie większą niezawodność niż wykorzystanie do przechowywania np. karty SD.

    http://blog.alexellis.io/hardened-raspberry-pi-nas/
    Kod: actionscript
    Zaloguj się, aby zobaczyć kod
    Kod: actionscript
    Zaloguj się, aby zobaczyć kod

    Fajne!
  • #2 09 Sty 2017 15:29
    JedenZero
    Poziom 6  

    Mniej kabli i zasilaczy można uzyskać przez użycie usb huba aktywnego. Zasilamy tylko hub a dyski i pi z portów USB.
    OpenMediaVault - tego lepiej użyć niż raspbiana. Większość rzeczy można wyklikać przez interfejs www.
    Fajna przygoda ale po pewnym czasie przeszedłem na normalny komputerek na intelu z intefejsami sata do hdd.

  • #3 09 Sty 2017 20:20
    PabloSSS
    Poziom 16  

    Ja wiem, że pośpiech i że ctrl+c i ctrl+v ale sprawdź, czy przypadkiem nie za wiele razy wstawiłeś:

    sudo userdel pi
    sudo rm -rf /home/pi

    Poza tym art bardzo merytoryczny.

  • #4 09 Sty 2017 22:45
    Kamil Monk
    Poziom 9  

    Artykuł bardzo pomocny i dość szczegółowo opisany. ale niestety jako początkujący użytkownik nie za bardzo mogę z poradnika skorzystać z powodu braku niektórych linijek kodu. Mniej więcej od połowy artykułu pojawia się w miejscu kodu praktycznie to samo.

    Pozdrawiam

  • #5 10 Sty 2017 21:48
    mr_grabarz
    Poziom 17  

    Pytanie jak wprowadzone zabezpieczenia wpływają na wydajność macierzy RAID?
    Zakładam, że spowalnia to działanie samej macierzy, choćby z uwagi na dość ograniczone zasoby sprzętowe RPi, pytanie na ile?
    Osobiście uważam, że fajna sprawa do pobawienia, natomiast zabezpieczanie, aż takie RAID-a pracującego w sieci lokalnej hm...
    Natomiast stawianie RAID-a firmowego lub dla większej grupy użytkowników to chyba zbyt dużo na Pi.
    Pytanie o wydajność

  • #6 10 Sty 2017 22:48
    DarekMich
    Poziom 15  

    Troche czysty przerost formy nad trescia, stosowanie raida za pomoca adapterow USB jest najwiekrzym ryzykiem samym w sobie, pozatym raid to nie tyle bezpieczenstwo danych a jedynie zapeniwnie dzialania ukladu w razie wystapienia awarii, jedyne bezpieczenstwo zawsze tylko i wylacznie zapewni kopia (czyt. backup). Z czego ten idealnie powinien byc zdalny (koputer w innej lokalizacji geograficznej). Jako NAs to tez jest to wyjatkowo watpliwe ze wzgledu na wydajnosc, ja osobiscie na NAS mocno eksploatuje (edycja video w HD, pozatym mam duza biblioteke filmow 3D, gdzie jeden film to nawet potrafi zajac 20GB). Jkos nie wyobrazam sobie ogladac go z RPi, jednoczesnie gdy dzieci ogladaja z niego bajki, lub gdy dochodzi do synchronizacji chmurki zainstalowanej w domu itp itd.

    KOncepcja fajna, dziala i chyba nic w praktyce poza tym.

    Szczerze polecam OpenMedaVault, jest na debianie i specjalnie przygotowane pod SOftwarowy RAID, obsluga po WWW i pelna klikowalnosc, szybkie i przyjemne jeszcze z obsluga wtyczek, za pomoca myszy zrobisz u ustawisz wiecej w krotrzym czasie.

    Pozdrawiam

  • #7 11 Sty 2017 18:15
    mr_grabarz
    Poziom 17  

    DarekMich napisał:
    stosowanie raida za pomoca adapterow USB jest najwiekrzym ryzykiem samym w sobie

    Możesz rozwinąć ten temat?
    Bo poza, sporo mniejszą wydajnością to jakiegoś astronomicznego ryzyka nie widzę dla samej macierzy...
    DarekMich napisał:
    jedyne bezpieczenstwo zawsze tylko i wylacznie zapewni kopia

    Czy ja wiem?
    Przykładowo posiadanie dysku 1TB
    a macierzy RAID 10 1TB
    Uważam że RAID kopią może nie jest, ale jest to bezpieczeństwo danych, może nawet lepsze niż kopia (ale NIGDY nie wykluczające kopii) bo zapewnia ciągłość, kopia np nie da szansy na odzyskanie danych które zostały wprowadzone/zmienione od momentu wykonania kopii do momentu awarii
    A wykonywanie kopii np baz danych które się bardzo często zmieniają (np. dane produkcyjne, magazynowe itd itd) o wielkości powiedzmy 500GB to do najprostszych nie należy...

  • #8 11 Sty 2017 21:13
    Bojleros
    Poziom 14  

    Cześć,

    ghost666 napisał:
    Czy Raspberry Pi nadaje się do budowy NAS? oto kilka argumentów

    Przeciwko:
    * Słabe I/O - brak SATA, ograniczone pasmo USB.
    * Brak RAMu ECC
    * Nie nadaje się pod ZFS
    * Zawodne bootowanie z karty SD.

    Za:
    * Bardzo niski koszt zakupu i działania 24/7 z uwagi na niskie wymagania co do zasilania.
    * Przenośny - można go nawet zasilać z baterii.
    * Łatwo do instalacji z wykorzystaniem dostępnych narzędzi.
    * Dobra wprawka i nauka dla DevOpsingu
    * Pozwala na szkolenie swoich umiejętności technicznych i sieciowych już za 5..25 dolarów.


    -ECC to raczej rozwiązanie serwerowe i większość desktopów tego nie ma
    -Co do zawodności SD masz rację absolutną.
    -DevOpsing ... fajne chwytliwe i modne hasło :) Nie wiem tylko jak już coś "wydewelopujesz" na tym sprzęcie to co się na nim uda hostować ??

    ghost666 napisał:
    * Domyślny podstawowy Raspbian OS - taki system jest bezpieczniejszy i zapewnia nam o wiele więcej kontroli nad komputerem niż dedykowany obraz pobrany z jakiejś, ciężko słabo zadokumentowanej, strony itp.


    Podzielam Twoją opinię. Jeżeli myśli się budowaniu czegokolwiek a potem o długotrwałym eksploatowaniu to trzeba mieć pewną bazę. Jeżeli weźmiesz dystrybucję krzak to efekt będzie "leśny".

    ghost666 napisał:
    Wyłączenie logowania hasłem po SSH


    Wyłączasz logowanie hasłem i uważasz że to tyle ? Wymuszasz użytkowanie klucza o przyzwoitej długości ? Wymuszasz użytkowanie mocniejszych Ciphers i MACs ? SSHD ma tyle opcji które wymagają jeszcze tuningu że głowa mała ...

    ghost666 napisał:
    Odetnij się od Internetu

    Internet to niebezpieczne miejsce. Najlepiej jest odizolować nasz NAS od ogólnodostępnej przestrzeni. Nawet jeżeli system jest poprawnie zabezpieczony, to odpieranie ataków będzie zabierało czas procesora.


    Od tego jest raczej firewall na routerze bo zakładam że taki nas to do domu albo ewentualnie bardzo małego biura. To taki firewall powinien zadbać o to aby żadne śmieci do nasa nie dotarły. Na ile się ufa sieci lokalnej to już indywidualna sprawa. Jak chcesz aby nas nie mógł się komunikować z internetem a tylko w lan to po co ustawiasz mu trasę domyślną? Na dobrą sprawę można także wywalić dns z google. Dzięki temu poza lan nie wyjdzie ani nic co nawet się do niego dostanie nie otrzyma odpowiedzi zwrotnej.


    mr_grabarz napisał:
    Pytanie jak wprowadzone zabezpieczenia wpływają na wydajność macierzy RAID?
    Zakładam, że spowalnia to działanie samej macierzy, choćby z uwagi na dość ograniczone zasoby sprzętowe RPi, pytanie na ile?
    Osobiście uważam, że fajna sprawa do pobawienia, natomiast zabezpieczanie, aż takie RAID-a pracującego w sieci lokalnej hm...
    Natomiast stawianie RAID-a firmowego lub dla większej grupy użytkowników to chyba zbyt dużo na Pi.
    Pytanie o wydajność


    Jeżeli pisząc o zabezpieczeniach masz na myśli selinux lub podobne to będzie to oznaczało spadek wydajności na poziomie jądra systemu z tytułu dodatkowego systemu kontroli uprawnień. Określenie tego w sposób uniwersalny nie jest do końca możliwe. Sam selinux nie powinien znacząco spowolnić samej macierzy no chyba że będziesz chciał wykonywać operacje na dużej ilości małych plików. Jak chce się zobaczyć gdzie i na czym jest sufit to polecam postawienie testowo RAID5/6 :)

    ghost666 napisał:
    Podsumowanie

    Raspberry Pi z programowym RAIDem nie jest może idealną platformą na NAS, jako że nie jest to najszybszy system, ale nie jest to rozwiązanie bez sensu. Szczególnie, że zastosowanie dysków mechanicznych daje nam istotnie większą niezawodność niż wykorzystanie do przechowywania np. karty SD.


    To co pokazałeś to pomysł ciekawy dla kogoś kto chce poeksperymentować i czegoś się nauczyć. Więcej rozwiązań na prawdę trudno jest znaleźć. To że malinie brak sata jest oczywiste. Jakby jeszcze miała pełnosprawną sieciówkę 1Gbit to już byłoby super.

    ghost666 napisał:
    Kopie zapasowe
    Do realizacji kopii zapasowych wykorzystamy rsync. Dzięki temu będziemy mogli synchronizować różne foldery w sieci na naszym NAS, robiąc kopie zapasowe. Rsync wykorzystuje do pracy NFS lub SSH, a zainstalować go można np. z pomocą apt-get. Następnie, wystarczy w terminalu wpisać:

    ghost666 napisał:
    Możliwość robienia kopii zapasowych przez rsync. Temu zagadnieniu nie przyjrzymy się zbyt dokładnie, ale zaprezentowana zostanie integracja rsynca z NFS i SSH.


    Rsync ma także swój natywny protokół. Miałem kiedyś zrobiony backup cykliczny (pełny+inkrementalny) za pomocą rsynca ale było to dość niewydajne. Do samego skopiowania danych na bok oczywiście da radę. Jak ktoś chce prawdziwy backup to raczej powinien poszukać czegoś innego.

    ghost666 napisał:
    Wzmocnienie zabezpieczeń

    Teraz przystąpić możemy do poprawy zabezpieczeń naszego systemu wykorzystując profile Seccomp, AppArmor czy SELinux. Aby zwiększyć poziom zabezpieczeń można część lub nawet wszystkie usługi systemowe realizować przez kontenery Dockera. Zapewnia to powtarzalne i izolowane środowisko.


    ghost666 napisał:
    Docker
    Dockera na Raspberry Pi instaluje się jednym skryptem. Po co Docker? Jak twierdzą eksperci aplikacje oparte na kontenerach są bezpieczniejsze.


    Piszesz o kontenerach jak o uniwersalnym leku na całe zło a tak nie jest. Wszystkich usług w kontener nie wsadzisz. Są takie usługi które pomimo uruchomienia z kontenera wymagają pracy w trybie wysoko uprawnionym lub przemapowania / w trybie RW. Korzyści są potem coraz mniejsze. A aplikacje działające w środowisku wirtualizowanym (w przeciwienstwie do kontenerów) są mniej bezpieczne ?



    PS.

    Sam raid chroni przed awarią dysku a nie pojawieniem się niekonsystencji danych lub rozwaleniem systemu plików. Do tego właśnie potrzebny jest backup. Dodatkowo można przywracać stan danych na chwilę wykonania backupu dysponując wieloma punktami do wyboru. Pani Krysia skasuje pół excela i co z tego że plik nadal jest :)

    Szanowny Kolega wspominał o tym że raid nie zastępuje backupu i ma absolutną rację. Natomiast backupowanie baz na gorąco , nawet tych z relatywnie dużą zmiennością danych jest wykonalne. Kwestia zasobów i narzędzi odpowiednich do skali biznesu. Jak od działania bazy zależy działanie (aka. istnienie) firmy to rachunek jest prosty :)

    Pozdrawiam,

  • #9 15 Sty 2017 21:54
    Janusz_kk
    Poziom 12  

    Bojleros napisał:
    Wyłączasz logowanie hasłem i uważasz że to tyle ?


    Zadajesz pytania do złej osoby :(

    ghost666 jest tylko tłumaczem artykułu, w podsumowaniu masz link do zródła.

    Pozdr
    Janusz

  • #10 17 Sty 2017 08:54
    pawelr98
    Poziom 34  

    Głównym problemem z raspberry pi jest łączone I/O.

    USB oraz port ethernet są na tej samej szynie.
    Jednoczesne obciążanie (np. odczyt/zapis danych po sieci) będzie prowadzić do ostrego ograniczenia prędkości. W przypadku RPi 3 jest nieco łatwiej bo Wi-Fi korzysta z osobnej szyny.

    Jeżeli trzeba przenośnego NAS-a to lepsze są terminale.
    Są najczęściej zasilane z 12V (można zasilać z baterii niewielkim kosztem), architektura X86 (więcej systemów do wyboru) oraz mają pełne I/O.W niektórych są także porty rozszerzeń typu PCI/PCIE albo miniPCIE.

    Koszt podobny lecz funkcjonalność dużo lepsza.
    Pobór energii na poziomie 20-30W w przypadku przeciętnego terminala.

  • #11 17 Sty 2017 17:44
    Bojleros
    Poziom 14  

    Cześć,

    Janusz_kk napisał:
    ghost666 jest tylko tłumaczem artykułu, w podsumowaniu masz link do zródła.


    Czyli w Twojej ocenie rola tłumacza wyklucza dbałość o poprawność merytoryczną artykułu bo za to odpowiada autor ? Jak dla mnie jest to deprecjacja pracy jaką wykonuje Ghost666. To jest naturalne, że człowiek ma dziedziny w których się specjalizuje a w pozostałych polega na innych ludziach. Tak samo naturalne jest to, że na forum Ci ludzie mają szansę zadać pytania i wyjaśnić te kwestie aby nie wprowadzać ogółu w błąd. Jeżeli składasz w sposób automatyczny dbałość o rzeczowość artykułów na ich pierwotnego autora to automatycznie oddajesz kontrolę nad rzeczowością portalu. Janusz_kk - od tego tylko krok do użycia zautomatyzowanego tłumacza .....

    Pozdrawiam,

  • #12 17 Sty 2017 22:33
    Janusz_kk
    Poziom 12  

    "Czyli w Twojej ocenie rola tłumacza wyklucza dbałość o poprawność merytoryczną artykułu bo za to odpowiada autor ?"

    "Wyłączasz logowanie hasłem i uważasz że to tyle ?"

    1.Uważasz że to tłumacz wyłączył logowanie?

    2.W którym miejscu zle przetłumaczył że mu zarzucasz błędy merytoryczne?

  • #13 18 Sty 2017 18:37
    ghost666
    Tłumacz Redaktor

    Jeśli chodzi o moją prywatną opinię ;) to uważam, że te zabezpieczenia są niezłe; tak samo jak niezłe jest RPi jako NAS czy jakakolwiek inna poważna aplikacja w sieci ;). Ale jest tani i daje namiastkę tego, co można by mieć za ~10 razy tyle.

  • #14 18 Sty 2017 22:23
    Bojleros
    Poziom 14  

    Cześć,

    Janusz_kk napisał:
    1.Uważasz że to tłumacz wyłączył logowanie?

    2.W którym miejscu zle przetłumaczył że mu zarzucasz błędy merytoryczne?


    Doczytaj proszę jeszcze raz ze zrozumieniem mój poprzedni post i przeczytaj to co piszę poniżej.

    ghost666 napisał:
    Jeśli chodzi o moją prywatną opinię to uważam, że te zabezpieczenia są niezłe; tak samo jak niezłe jest RPi jako NAS czy jakakolwiek inna poważna aplikacja w sieci . Ale jest tani i daje namiastkę tego, co można by mieć za ~10 razy tyle.


    Do testów , do małego NAS wyłącznie w sieci lokalnej tak , RPi wystarczy. Do poważniejszego serwisu musisz mieć dystrybucję i podstawę sprzętową, która zapewnia Ci stabilną i długotrwałą pracę, wymienność sprzętu, nadmiarowość jeżeli trzeba, standaryzację, aktualizację. RPi to płytka powstała z myślą o edukacji i działaniach amatorskich. Co ciekawsze komputery ARM podobnego typu i skali mogą mieć zastosowanie w pewnych rozwiązaniach klastrowych.

    Samo wywalenie logowania hasłem w środowisku domowym to już raczej dostosowanie się do własnych nawyków. Konfiguracja oprogramowania nie kosztuje :) Klucz może być za krótki , wygenerowany kiepskim algorytmem, bez hasła , a w dodatku właściciel może go nie szanować (nieumyślnie udostępnić klucz prywatny, trzymać go we wielu miejscach i stracić kontrolę). Jeżeli nie zmienisz konfiguracji sshd to działają przestarzałe algorytmy jak 3des , cbc więc klient ssh może ich użyć. Wyłączasz logowanie hasłem, zakładasz że będziesz korzystał z klucza, zostają też inne mechanizmy do wyłączenia. Wystawiasz sshd na zewnątrz a czy ograniczasz adresy źródłowe klientów na firewallu lub tcp_wrappers, ilość prób logowania , opóźnienia ? Itd ...

    Dlatego właśnie pisałem, że jako tłumacz masz prawo o tym nie wiedzieć , autor sam świadectwo o sobie zostawił, ale po to jest forum i dyskusja , żeby takie błędne skróty myślowe naprostować :)

    Pozdrawiam,

Szybka odpowiedź lub zadaj pytanie
Dziękuję Ci. Ta wiadomość oczekuje na moderatora.
 Szukaj w ofercie
Wyszukaj w ofercie 200 tys. produktów TME