Comments 12
Для админа, который хочет всё настроить один раз и не лезть туда
Не совсем про TrueNAS, потому как как минимум один раз был случай, что люди которые не обновились до определенной даты теряли возможность обновляться дальше. Да и вообще, это классный продукт, но с тем самым неповторимым вайбом бесплатного опенсорса имеющего платную поддержку, который на первый взгляд выглядит как что-то очень простое и доступное даже домохозяйке, но попользовавшись им подольше понимаешь, что не все так просто. Кто пользовался, например, NextCloud тот поймет, что я имею в виду.
Но тут всплыла старая добрая классика — «а можно подешевле?»
При сегодняшних ценах на диски, цена самой железки уже слабо заметна, и попытка на ней экономить это нехороший симптом. Надежное хранение данных в любом случае стоит денег, и если компания жмет их на NAS, это плохой знак. Практика показывает, что такие будут и на деградировавшем рейде сидеть (работает же!) и спохватятся только когда он развалится. ИМХО, связываться с такими клиентами под свою ответственность – себе дороже. Если и работать с такими, то только оговаривая, что эксплуатация и дальнейшая работоспособность после настройки это полностью их зона ответственности.
с помощью Tailscale и ZeroTier я и организовал удалённый доступ к новому файловому серверу на TrueNAS
Так при помощи Tailscale или ZeroTier огранизовали? Или одно поверх другого запустили? Какие скорости получаются? Как обходите то, что Tailscale заблокирован? Не страшно доверять чужому дяде свой трафик, может лучше было headscale взять?
Ну или кинетиковский впн как самое простое решение. Ну, в российских условиях это netcraze
А вы делали тестовое отключение ("потерю") дисков, чтобы удостовериться, что все работает, как ожидалось? А то галочка в интерфейсе есть, а вдруг оно не работает, или потом восстановление занимает очень долго времени, как данных, так и настроек шар.
Вот тут я пару лет назад писал и про трунас и про отключение дисков.
Всё работает. Плюс ещё и этот же пул дисков из статьи уже переехал на scale debian версию. Плюс с 24й версии можно расширять пулы добавлением дисков. Но автор не учёл, что куча красивого мониторинга была вырезана в 25й версии, надо ставить плагин отдельно. Да даже smart запускается теперь только из командной строки! Хз, почему...
Если железка стаоая, то почему монстра TrueNas, а не его легкого предка xigmanas ?
Как в одном предложении собрались хула windows server, восхваление synology и профессия стстемный администратор ? Сино или truenas научились нормально в сеть микрософт ? Smb 3.x , мультиченел ?
Про шифрование дисков забыли. Благо, оно в ZFS тоже встроенное. Надеюсь, что забыли написать, а не настроить. Иначе товарищ майор, заглянувший "в гости" к Вашему знакомому, будет Вам очень благодарен, а вот сам знакомый - вряд ли...
Когда приходят с обыском, это уже постановление. А если пришли, значит уже есть подтвержденная информация и шифрование может послужить не добрую службу. Если уж есть необходимость незаконную деятельность скрыть, vps в стране, где не будет вопросов.
Чтобы пришли - не надо заниматься незаконной деятельностью. Достаточно заниматься деятельностью, которая кому-то может мешать (конкурентам, оппонентам в судебном споре, желающим прибрать к себе что-то Ваше, желающим разузнать что-то, что знаете только Вы, и т.п.)
Шифрование помогает в 95% случаев, пришедшие тупо, не включая, отбирают всё, что похоже на цифровую технику (у меня как-то док-станцию к ноуту без самого ноута пытались изъять, пока сотрудник помоложе, который хоть что-то понимает, не подошёл и не объяснил :) Потом оно отправляется в ЭКЦ на осмотр, те, увидев шифрование и не увидев ключа, пишут бумажку "не шмогла" и железо с так и не расшифрованными данными остаётся лежать в вещдоках мёртвым грузом.
В тех 5% случаев, когда у следствия есть реальный стимул добиться получения данных неправовыми средствами, те, для кого такой риск актуален, обычно прекрасно про это знают и предпринимают более серьёзные меры (нет, конечно, в любой сфере есть уникумы...)
Но в базе, для обычных бизнесов, не попадающих в категорию особого риска, любое локальное устройство от смартфона до сервера должно иметь полнодисковое шифрование и отсутствие очевидных способов расшифровки (биометрия, пароль на листочке, ключ на лежащей в том же офисе флэшке и т.п.) Сисадмин, не обеспечивший это, достоин всяческих проклятий и кар.
Ну и про данные на VPS в другой стране - безусловно, они должны быть и там тоже. Минимум в текущих реалиях - три копии: локальный сервер/NAS, облако/сервер в РФ, облако/сервер не в РФ. Каждая копия со своими рисками, вероятность наступления всех рисков одновременно минимизирована. Но соглашусь, пожалуй, что локальный сервер/NAS по возможности стóит размещать не в том офисе, где сидят сотрудники и куда могут прийти, а, скажем, дома у двоюродной тёти бухгалтера. Что не отменяет шифрования и там тоже.
любое локальное устройство от смартфона до сервера должно иметь полнодисковое шифрование и отсутствие очевидных способов расшифровки (биометрия, пароль на листочке, ключ на лежащей в том же офисе флэшке и т.п.) Сисадмин, не обеспечивший это, достоин всяческих проклятий и кар.
Мне кажется это не забота сисадмина, это забота юридического отдела и собственника. Шифрование повышает безопасность данных, но в то же самое время повышает вероятность их потери (при потере по какой-то причине ключей) и решение нести ли этот риск, а так же у кого и как должны храниться ключи, должен принимать собственник бизнеса посоветовавшись с юристами, а не сисадмин.
TrueNAS. Организация файлового сервера у клиента c возможностью удаленного доступа