Перейти к содержанию
Форум русской поддержки продукции Synology

Hyperbackup на USB диск и проблема поддержки USB диска


Рекомендованные сообщения

Для ежедневных backup данных используется второй NAS. Во второе хранилище есть только ftp доступ, доступ по протоколу smb естественно не открыт. Тот же функционал по умолчанию дает USB диск, подключенный к NAS. И логично ежедневный HyperBackup настроить в такой USB диск, а второй NAS отправить в другую локальную сеть. Но я не понимаю, чем смотреть SMART USB диска? Даже температуру нечем посмотреть.

Backup данных нужен на случай ошибочных действий, шифровальшиков, аппаратных проблем NAS. Как правило USB диск нештатное отключение питания переносит.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 недели спустя...
В 08.05.2021 в 07:47, alex987 сказал:

Мне кажется единственный способ - это Docker + https://www.hdsentinel.com/download.php/ по идее должно работать.

Нашлась команда smartctl для просмотра SMART. Но я так и не отследил порядок стирания старых данных и записи новых средствами Synology. Вернулся к rsync во второй NAS. Rsync создан для надежного копирования, случай, когда данные на оригинальном диске начинают сыпаться, тоже предусмотрен.

Ссылка на сообщение
Поделиться на другие сайты

Я подумываю решить так - синхронизация НАС через ShareSync + на каждом НАС USB диск с backup с глубиной 2 копии особо важных данных. Пока только первый пункт реализован. И тогда на smart можно не морочиться

Ссылка на сообщение
Поделиться на другие сайты
  • 3 месяца спустя...

Осталась неясность с разграничением доступа к архиву на USB диске. Насколько важно это делать?

Первоначально я подключал домашнюю сетевую папку Synology в свои ПК под именем пользователя с правами администратора. И только из-за особых пользователей типа ip камеры делал нового пользователя с правами user, которому шастать по всему NAS нельзя. Ip камера не терпит длинных паролей, есть риск его компрометации в интернете (доступ к SYnology в интернете открыт), и пусть тогда только видео камеры утекает. А доступ ко всем папкам NAS из ПК под записью администратора при этом остается востребован  --- можно свои данные, и логи событий смотреть, и папку с видео записями камеры под одним именем. Нет нужды плодить в ПК пользователей со своими паролями.

Так вот, если я подключу USB диск к NAS, назначать букву этому диску не буду, диск все равно под записью администратор будет виден в сетевом окружении ПК как \\10.0.0.3\ubsshare1. Вряд ли вирусу препятствие портить все доступные сетевые диски даже назначения ему букв? В случае backup на локальный USB диск в NAS вероятно без отделения пользователя расшаренных папок NAS от администратора обойтись не получится?

Ссылка на сообщение
Поделиться на другие сайты
  • 4 недели спустя...

Не осилил резервное копирование на USB диск, подключаемый к единственному NAS. Резервная копия подразумевает несколько версий и защиту от шифровальщика.

1. Нужно вводить еще пользователя, отличного от Administrator, для smb папки, расшариваемой в ПК. Доступ к dlna папкам типа video, photo придется делать через Administrator, например по ftp.

2. Но основная проблема получается для USB диска для backup. Чтобы контролировать целостность файловой системы придется USB диск форматировать в ext4, т.е. оставить его только для NAS. В случае поломки самого NAS надо найти, где такой USB диск ext4 прочитать. В случае нештатного выключения NAS есть риск обе файловые системы подпортить в самом NAS и в USB диске. Так что, за исключением шифровальщика, backup прямо на подключенный USB с RAID1 NAS мало каких функций добавляет.

Многоверсионный backup на дополнительный слабенький однодисковый backup-NAS прямо из основного NAS RAID1, предназначенного для работы, дает много больше. Физически независимый backup выглядит надежнее и в части доступа к данным на менее 100% надежном железе, и в части появления шифровальщиков ПК защитит.

Ссылка на сообщение
Поделиться на другие сайты
В 22.09.2021 в 20:40, Alexei2020Oct сказал:

Не осилил резервное копирование на USB диск, подключаемый к единственному NAS. Резервная копия подразумевает несколько версий и защиту от шифровальщика.

1. Нужно вводить еще пользователя, отличного от Administrator, для smb папки, расшариваемой в ПК. Доступ к dlna папкам типа video, photo придется делать через Administrator, например по ftp.

2. Но основная проблема получается для USB диска для backup. Чтобы контролировать целостность файловой системы придется USB диск форматировать в ext4, т.е. оставить его только для NAS. В случае поломки самого NAS надо найти, где такой USB диск ext4 прочитать. В случае нештатного выключения NAS есть риск обе файловые системы подпортить в самом NAS и в USB диске. Так что, за исключением шифровальщика, backup прямо на подключенный USB с RAID1 NAS мало каких функций добавляет.

Многоверсионный backup на дополнительный слабенький однодисковый backup-NAS прямо из основного NAS RAID1, предназначенного для работы, дает много больше. Физически независимый backup выглядит надежнее и в части доступа к данным на менее 100% надежном железе, и в части появления шифровальщиков ПК защитит.

Ух какой поток мысли...

1. А что мешает сделать пользователя не администратора с нужными доступами, а не дырищу в безопасности ради которой вы все и городите? Лично на нас админом хожу или только из дома или через lxqt/vm внутри нас со входом извне по https.

2. А в чем проблема создания бэкапа на usb через гипер бэкап? Контейнер с контролем четности и версионностью... И ext не нужен. Да и ext отлично монтируется на win через ext2fs... 

Очень много надуманных проблем безопасности при полном принебрежении той самой безопасностью - "удобно ходить админом".

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, freewind сказал:

1. А что мешает сделать пользователя не администратора с нужными доступами, а не дырищу в безопасности ради которой вы все и городите? Лично на нас админом хожу или только из дома или через lxqt/vm внутри нас со входом извне по https.

Поскольку утечка своих данных равносильна утере пароля администратора, какой смысл отделять этого пользователя от администратора при отсутствии других физических пользователей NAS? Помимо администратора сделаны два пользователя NAS для записей видео ТВ-шлюза и ip-камеры. Причина: эти устройства понимают только SMB v1, требуют квотирования (ip камера) и пароли допускают ограниченной длины. Для NAS, выставленного портом в интернет, уже получится утечка данных. Отделение этих устройств от администратора безопасности не прибавило, а только добавило два пути для захода. Ни в свойствах пользователей, ни в firewall Synology нельзя запретить sftp доступ отдельным пользователям из интернета. Сейчас для обеспечения безопасности остается отслеживать только одного пользователя с правами администратора в логах NAS, который автоматом имеет доступ к папкам видеонаблюдения. В противном случае, как вы предлагаете, у меня в логах появятся записи: ip-камера (короткий пароль). Либо к administrator (длинный пароль), user (длинный пароль) придется еще настраивать костыль в виде доступа user к папкам ТВ-шлюза и ip-камеры. Придется заниматься администрированием на уровне предприятия, при этом удобства Synology пропадают.

4 часа назад, freewind сказал:

2. А в чем проблема создания бэкапа на usb через гипер бэкап? Контейнер с контролем четности и версионностью...

Вы зациклились на волшебных словах Synology типа версионности. А я привык не отказываться от базовых вещей --- мне нужна возможность запустить проверку всего диска (данные и пустое место) на предмет деградации железа и ошибок файловой системы. Откуда аналог chkdsk для ntfs в DSM? И аналогично для chkdsk ext4 в windows. Если я правильно понял, если подключить привычный пользователю ПК ntfs usb диск для резервного копирования, то придется его периодически переподключать к ПК для проверок.

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, freewind сказал:

А что мешает сделать пользователя не администратора с нужными доступами

Здесь даже нашлась старая проблема: Запрет доступа к DiskStation из интернета для некоторых пользователей

 

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Alexei2020Oct сказал:

Поскольку утечка своих данных равносильна утере пароля администратора

С чегобы вдруг? 

Потеря пароля = не только утечка, а полная компрометация системы в целом...

3 часа назад, Alexei2020Oct сказал:

какой смысл отделять этого пользователя от администратора при отсутствии других физических пользователей NAS

Смысл как раз в защите системы, данных, служб и т.д. Основные постулаты целостность, непрерывность и достоверность. Убрав администратора и полный доступ к данным вы защищаете систему. 

 

2 часа назад, Alexei2020Oct сказал:

Здесь даже нашлась старая проблема:

Во всех вопросах защиты используется комплексный подход. И в данном случае это вообще не проблема. 

1. Администратор - пользователь управления системой. Он работает только в рамках ДМЗ и не где более. то есть используется для входа в DSM

2. Для внешней работы достаточно всего 2 портов 80 и 443 и указанная старая проблема пропадает сама собой. НЕ ХОДИМ на эти порты админом. (внутренний рут ведь и так выключен?) а вася пупкин из группы администраторов не появляющийся во внешней сети и топающий только на 5001 (измененный порт не доступен никому).

3 часа назад, Alexei2020Oct сказал:

Придется заниматься администрированием на уровне предприятия

Сделать 3 пользователей и раздать им в графических окошках 5 галочек - администрирование на уровне предприятия???????????????

 

К чему я это. Вы там много писали про защиту от шифровальщика, так вот именно ваш подход это открытое приглашение для него и бэкап не спасет, а станет таким же зашифрованным файлом... Не с того места вы защиту строите...

Ссылка на сообщение
Поделиться на другие сайты
32 минут назад, freewind сказал:

Смысл как раз в защите системы, данных, служб и т.д. Основные постулаты целостность, непрерывность и достоверность. Убрав администратора и полный доступ к данным вы защищаете систему. 

Дружественность Synology не предполагает должного уровня защиты. Пожалуйста, дополнительно к учетной записи администратора можно добавлять сколько угодно пользователей без ущерба безопасности, если для начала сделать шаблон для авторизации по ключу.

35 минут назад, freewind сказал:

Для внешней работы достаточно всего 2 портов 80 и 443 и указанная старая проблема пропадает сама собой.

Мне достаточно только порта sftp для доступа к NAS Synology из интернета. Никакие другие порты в него не прописаны. Но даже для этого случая имеется нелогичность настроек DSM 6.

39 минут назад, freewind сказал:

Сделать 3 пользователей и раздать им в графических окошках 5 галочек - администрирование на уровне предприятия???????????????

В случае Synology ответ про подготовку на уровне администратора предприятия утвердительный.

1. Для администрирования устройств своей сети (в том числе Synology) я естественно делаю vpn туннель. Ни один vpn сервер Synology не содержит графической настройки авторизации по ключу. Мне проще ограничиться ovpn сервером в небыстром роутере, чтобы получить гарантированный доступ и надежность без влезания в командные строки.

2. Оказалось проще сделать защищенный доступ в win-ПК на основе ssh сервера с ключами для удаленного рабочего стола и пересылки файлов, чем к Synology. Выглядит абсурдно, но для быстрого доступ в локальную сеть используется защита win-ПК вместо достаточно мощного Synology на Celeron.

47 минут назад, freewind сказал:

Вы там много писали про защиту от шифровальщика, так вот именно ваш подход это открытое приглашение для него и бэкап не спасет, а станет таким же зашифрованным файлом... Не с того места вы защиту строите...

Вы невнимательно читаете. Идеология Synology упрощения настроек и пренебрежения безопасностью приводит к тому, что гораздо проще и логичнее располагать все данные в NAS1 и делать многоверсионный backup в еще один NAS2. Здесь и защита от шифровальшика (опасность которого не нужно преувеличивать), защита от поломки железа NAS1, и даже выполнение рекомендации по backup всех данных перед миграцией дисков или их перепрошивке. Шифровальшик из ПК затрагивает данные в NAS1, а работу NAS1 и старые версии в NAS2, не затрагивает.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в этой теме...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...
×
×
  • Создать...