Комментарии 41
Безопасность там весьма относительная, как показывает практика...
Прячем их за файрволл, а дырочки в нем открываем port knoсking'ом, или ходим в домашнюю сеть через VPN с сертификатом. По крайней мере от тупых ботов-сканеров защитит.
Довольно разумным решением с точки зрения безопасности может стать создание личного облака на арендованном VPS-сервере, куда можно сохранять резервные копии самых ценных файлов.
А шо? Таки панели управления VPS и всякие там web-панели давно не взламывали? Или VPS c терабайтными дисками стал стоить хотя бы на порядок выше NAS?
А шо вы удивляетесь? Это блог компании продающей VPS.
Много лет пользуюсь VPS, ни разу не взламывали, но о таких случаях слышал, конечно. По большому счету, взломать можно что угодно... Речь о резервном хранилище. У меня в качестве запасного, например, выступает внешний винт, но он не очень удобен: достать, подключить, воткнуть блок питания, дождаться, пока определится в системе, скопировать, отключить, убрать на полку... Приватное облако, имхо, удобнее. Но я не настаиваю.
Приватное облако настроенное кривыми рученками по устаревшим гайдам по первой ссылке в яндексе в десятки раз хуже готового и обновляемого решения от всяких QNAP или Synology.
У меня торчат пяток NAS'ов и три сетевых ЖД (WD) в мир - ни разу не взломали, но это не значит что они безопасны, это лишь означает что я неуловимый Джо. Однако VPS, на котором нет сайта и он занимается роутингом определенным, регулярно рапортует что на honeypot слетаются разные мухи.
Можно вставлю 5 копеек про оффлайн бэкапы? И пусть шифровальщики отдыхают...
А если данные меняются в небольшом количестве - можно даже автоматом сделать, цепляем BD-писалку, вставляем в нее BD-R на 25(50,100) ГБ, и пусть раз в неделю по планировщику туда новой сессией дописываются измененные данные. В зависимости от объема данных одного диска может хватить надолго ;)
Хм. Интересно: а сколько итераций перезаписи выдержит такой диск?
А вот кто его знает - надо попробовать, плюс предлагаю не пере- а до-запись, диски это позволяют.
На DVD на сессию терялось около 10 мегабайт, если на BR столько же - то итераций может быть много...
У меня где-то в кладовке валяется Iomega ZIP на 750 мегабайт. В свое время было очень хорошим девайсом для резервного копирования - я на нем вёрстку журналов хранил. Жалко, драйверов под современные ОС к этому девайсу уже не существует...
Помнится, когда мы писали статью про Synolocker, нас буквально атаковали ребята из пресс-службы Synology с настойчивыми просьбами дописать, что все уязвимости исправлены, все пофикшено и пользователям ничего не угрожает :).
Удалось дешифровать то? Или все снесли? Ценные данные старого приятеля то были там?
Там ничего особенно ценного не было, так что - снесли.
все проблемы о того что люди привыкли юзать коробочные решения и покупают всякие кунапы и синоложи, разрабы которых не сильно парятся по поводу безопасности и актуальных апдейтов, им важнее выкатить красивую вебмордочку.
любая x86_64 или arm железка, любой линукс дистр, и пара часов свободного времени. и вуаля у нас есть NAS сломать который сильно сложнее. а если потратить ещё пару часов на чтения манов и опыта других лююдей то вообще неломаемый бастион..
Люди поэтому и покупают коробочку, чтоб не читать и не настраивать.
На самом деле, у кунапов часто выходят обновления безопасности (каждый месяц это точно, а в периоды эпидемий/новостей чаще), но да порой тупо лень в них заглядывать и обновлять...
Ну вот так совпало, что я решил себе что-то поставить с raid-1, торрентами (на всякий случай), plex и owncloud. Сейчас это просто raspberry (уже лет 7-8 работает), но она не умеет аппаратный raid, а программный считаю не достаточно надёжным. Выбор у меня какой? qnap\dlink\synology\WD занимают места чуть более чем 2 диска, ставятся незаметно на полку в стене. А если буду собирать железку сам, то это microatx+корпус+БП на 250Вт минимум. Настроить - не проблема. Проблема в размерах этой махины и куда её девать.
Но и да, настроить все свои сервисы "для дома, для семьи" за 30 минут или только на отвёрточную сборку убить пару часов?
Машина под мои задачи обойдётся (без учёта дисков) примерно в 15000 - 20000р., а NAS со всем функционалом который мне нужен на процессоре x86 я возьму на авито менее чем за 10000
Так что выбор не очевиден и был бы рад прочитать рекомендации опытных :-)
Ну для начала хочется сказать что лично я бы выбрал программный рейд, mdadm/btrfs/zfs имеют ряд преимуществ перед аппаратным
1) например в btrfs я могу быстренько собрать raid1 из того что есть, а потом по возможности докупить дисков и без простоя на лету превратить его в raid10 или 5...
2) у меня уже был случай когда аппаратный рейд контроллер умер, тот что лежал в зипе оказался так же мёртв, а другой такой оказалось не купить (очень старый), ну а другие контроллеры такой рейд не увидят и работать с ним не станут.
Ну а по надёжности программный меня не разу не подводил (zfs может подвести если памяти не хватит, но тут ссзб), да и по скорости как-то претензий нет. А бонусом btrfs и zfs умеют сжатие и дедупликацию чего нет в аппаратных контроллерах.
По остальному советую Загуглить hp microserver. Дёшего и компактно. Но это x86, а если хочется всё же энергоэффективности то у pine64 есть одноплатник с полноценным pci-e в который можно воткнуть любую hba (ну или аппаратный рейд если очень хочется) и получаем мало кушающий arm девайс.
И это будет не дороже проприетарного nas (со схожими характеристиками конечно) с того же avito или injapan
Хотя лично мне надоело гнаться за компактностью, да и электричество нынче стоит недорого (по крайней мере у меня) и я подумываю таки взять какой нибудь большой jbod на много дисков и hba с external SAS. Меня смущает не размер а шумность и тепловыделение пока, но это тоже решаемо.
Раньше я работал в хостинг провайдере, и по блату держал двухюнитник в цоде. Сейчас понимаю насколько это лучше чем домашнее маленькое и компактное и хочу вернуться к тому конфигу хотя и дома.
Насколько я понял пользователи на осмысленно вешают NAS на "белый" адрес и после имеют проблемы. Ну это как уходя из жилища оставить входную дверь не запертой...
Меня, как владельца NAS со стажем 15 лет беспокоит вопрос наличия подобной малвари для других платформ, например FreeBSD. Встречалось ли кому на просторах подобное?
некоторые пользователи наивно полагают, что если их девайс работает под управлением Linux, он защищён от всевозможных вредоносов самой архитектурой операционной системы.
Некоторые? Это весьма распространенное убеждение.
Шутка о том, что вредоноса для Linux нужно сначала собрать из исходников, убедиться в том, что в системе есть все нужные библиотеки и зависимости, и только после этого пытаться запустить, выдав ему предварительно права root, утратила актуальность.
Похоже, что вы первый, кто осмелился написать об этом публично (ранее мне ничего подобного не попадалось :)
Может просто не высовывать NAS наружу? Те же кунапы и синолоджи имеют пакеты банального openvpn сервера, что отрежет 99% возможностей его поломать.
В чем проблема собрать NAS на традиционных ОС, которые обновляются и безопасностью которых занимаются намного плотнее? Например, сборки, предназначенные для веб-серверов
Непонятно, зачем домашний NAS к интернету подключать. Используйте прокси в виде домашней машины, а доступ к NAS-у только по самбе
Пока не используйте, выключайте NAS
Спасибо за статью.
Пользую самосбор (привет, Ali - https://xeon-e5450.ru/socket-2011-3/aktualnye-sborki-na-2011-3-sokete/) + freenas core\scale, omv, xigmanas. Проблем с безопасностью на порядок меньше - обновления выходят часто. Freenas и omv умеет в докер ,что позволяет быстро развернуть vpn (wg-easy, amnezia vpn etc) для доступа к nas извне.
NAS взломали. Как трояны проникают в сетевые хранилища и как от этого защититься