NAS na takove to domaci zvykani

David Belohrad david na belohrad.ch
Úterý Říjen 18 15:21:18 CEST 2011


ja jsem premyslel uplne nad tim samym. napadlo me (prozatim, nevim jestli to
funguje pac muj server je jeste porad v praze) tohle:

a) nesifrovat root, zasifrovat home partition
b) pouzit libpam, ktery primontuje sifrovany disk v okamziku prihlaseni
(tohle funguje, mam v praci, jen je potreba trochu postelovat pam nastaveni)
c) odpojit home po odlogovani posleniho usera (tohle mozna funguje
automaticky)
d) pouzit public/private keys na vzdalene pripojeni k masine. Tohle
zabezpeci, ze pam modul zafunguje a pripoji sifrovany home disk. Pokud je
luks sifra stejna jako login/heslo, tak se to pripoji samo

Samozrejme se predpoklada, ze pocitac, ze ktereho na tohle pristupujete ma
_take_ zasifrovany disk, tentokrat ale uplne. Na namontovani adresaru se da
pouzit sshfs. ten jede pod fuse, takze root neni potreba....

nevim jestli tohle funguje, ale hodlam se podobnou cestou vydat. Pokud bude
zasifrovany home a tmp, neni problem. Samozrejme nevyhodou je, ze
pravdepodobne nepojede media streaming, a pokud chcete rozjet bittorent
server/client
tak ti musi byt na nezasifrovanem oddilu.

Je fakt, ze jestli ten server pojede 24hodin denne, USB klic neni takove
omezeni. Jestli jej chcete na wake on lan, tak to asi nepujde.

kdyz dojdete na neco lepsiho, tak sem s tim.....

d.


2011/10/18 Michal Grunt <michal.grunt na vynet.cz>

> Zdravim,
> trosku se vratim k tematu. Hraji si s HP Microserver. Pri instalaci Debianu
> jsem zvolil LVM a ecryptfs (na cely filesystem - jeden disk). Pri bootu
> zadavam heslo. Jak doclilit toho abych nemusel pri bootu zadavat heslo
> (predpokladam, ze pres SSH to nepujde, protoze jeste nebudou nastartovane
> pozadovane sluzby a mit porad u "serveru" klavesnici...), ale mel ho ulozeny
> na USB flash a stacilo mit pri bootu na okamzik vlozeny USB flash? Trochu
> jsem googlil, ale nic pouzitelneho jsem nenasel. Ani jsem nenasel kde najit
> konfiguracni soubor ecryptfs kde by se tohle dalo definovat.
>
> Diky
> MG
> ________________________________________
> Odesílatel: hw-list-bounces na list.hw.cz [hw-list-bounces na list.hw.cz] za
> uživatele Lubos Medovarsky [lubos.hwlist na accelera-networks.com]
> Odesláno: 22. září 2011 10:50
> Komu: HW-news
> Předmět: Re: NAS na takove to domaci zvykani
>
> Zdravim.
>
> Neviem ake su moznosti, ale napriklad Ubuntu serverovy instalator
> je podla mna nielen admin-, ale aj user-friendly, a podporuje
> enkrypciu diskovych oddielov.
>
> Bezne instalujem nasledovne vrstvenu konfiguraciu:
>
> LVM LV (logicke oddiely)
> LVM VG
> LVM PE
> LUKS (enkrypcia)
> velky primarny oddiel
> RAID 1,5,6,...
> velky primarny oddiel pre kazdy HDD, na kazdom boot sektor
> HDD
>
> Ma to prednost, ze takto nastavene oddiely aj cely storage je mozne
> *za behu* migrovat na ine fyzicke media - nedavno som premigroval
> z 3x 500 GB HDD RAID5 na 4x 750 GB RAID6 bez restartu, a na
> jednom serveri som kvoli nedorozumeniu premigroval RAID 1
> na JBOD (2xHDD) a spat na RAID1 bez jedineho restartu, vsetko
> cez SSH.
>
> Co by mohlo byt zaujamavejsie je, ze existuju pomerne jednoduche
> navody, ako nastavit nacitanie desifrovacieho kluca z USB storage.
> Ten potom staci vlozit nakratko pri starte, a po zvysok casu ho mat
> mimo dosah - po restarte uz system bez neho (alebo nastaveneho
> "hesla", tj. passphrase) uz nikdy viac neodhali svoj obsah
> a nenastartuje. Hodi sa preto mat dalsi USB klucik so zalohami
> niekde daleko, po moznosti za hranicami EU, ci steganograficky
> ukryty v MPEGoch niekde na YouTube ;-)
>
> Este jeden tip - Linuxovy server, ale aj napriklad vyborny FreeNAS
> sa daju vyskusat aj vo VirtualBoxe, alebo podobne, este pred kupou
> hw, vratane simulacie startu bez diskov a podobne.
>
>
> Lubos
>
>
> On 09/22/2011 09:43 AM, Michal Grunt wrote:
> > Notebooky a nektere zakladni desky mají TMP chip, ale levne Atomy to mit
> > asi nebudou. Softwarove reseni samozrejme jsou (napr. TrueCrypt, tedy
> > pokud není nutny i-button), ale to by Atoma mohlo dost zatížit (mozna
> > primo Linux při instalaci něco nabízí). Videl jsem v akci i USB klic
> > (před bootem OS se zavadel podobne jako u TrueCryptu program, který si
> > zažádal o heslo + pripojeni USB klice), ale opet to bylo dost narocne na
> HW.
> >
> >
> >
> > Kolega koupil tu nejlevnejsi skrinku
> > http://www.alza.cz/cfi-a8989-itx-cerny-d125974.htm (vim, je to ohavne),
> > ale je s tim spokojen (pouziva to také jako NAS). Otazka je, jak dlouho
> > vydrzi zdroj (optam se, bezi mu to vice jak pul roku v kuse). Kolik mu
> > to zere také muzu zjistit, ale obavam se, ze udaj bude dost nepresny…
> >
> >
> >
> > MG
> >
> >
> >
> > *From:*hw-list-bounces na list.hw.cz [mailto:hw-list-bounces na list.hw.cz]
> > *On Behalf Of *David Belohrad
> > *Sent:* Thursday, September 22, 2011 9:02 AM
> > *To:* HW-news
> > *Subject:* Re: NAS na takove to domaci zvykani
> >
> >
> >
> > hm, zajimave. predpokladam, ze v obou pripadech je pouziti sifrovani
> > disku dost problematicke. nebo se mylim? neco jako ze by se to dalo
> > nabootovat pomoci nejakeho i-buttonu nebo tak.... (sice to bylo mimo tu
> > specifikaci co jsem uvadel, ale kdyby nahodou ...)
> >
> > u home reseni me pripada dost problematicke vyreseni krabice.
> > predstavoval bych si krabici o neco malo vetsi nez jsou ty dva HDD,
> > ktere do toho chci strcit. Take samozrejme spotreba (atom vs arm?) je
> > dulezita, protoze to pojede 24/7
> >
> > d.
> >
> > 2011/9/22 Michal Grunt <michal.grunt na vynet.cz
> > <mailto:michal.grunt na vynet.cz>>
> >
> > Doporucuji spise samostatny pocitac (Atom…) a k tomu v pripade potřeby
> > gbit Intel sitovou kartu (lepsi nez integrovana na desce, pokud nebude
> > Intel sitovy chip na desce). V zamestnani tu občas mame male diskove
> > pole, a co se tyce prenosove rychlosti je to des. Na proti tomu
> > standartni PC dava daleko lepsi vysledky. I když dneska i do malych
> > diskovych poli davaji Atomy místo ARM, ale cena se pohybuje skoro jako u
> > malého PC které si slozite a ma daleko lepsi vyuziti (nejste omezen
> > firmwarem, ruznym hackovanim atd. ale je s tim trochu prace). A můžete
> > do toho zaintegrovat třeba i ten router…
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list
>
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20111018/e203aa59/attachment.htm>


Další informace o konferenci Hw-list