Strona używa cookies (ciasteczek). Dowiedz się więcej o celu ich używania i zmianach ustawień. Korzystając ze strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.    X

[Bezpieczeństwo] Amatorski serwer backupów

Witam.

Na wstępie chciałbym podziękować redakcji i użytkownikom za ostatnią nagrodę oraz przypomnieć, że wpisów nie piszę dla nagród a jedynie dla przyjemności, lubię dzielić się z Wami wiedzą i doświadczeniem a także poznawać Wasze zdanie i opinie na ten temat - to jest właśnie powód dla którego piszę na blogu.

No więc do rzeczy, wczoraj postawiłem komputer stacjonarny na serwer backupów i w tym wpisie podzielę się z Wami moim pomysłem na całokształt. Miło by było też zobaczyć kilka opinii co można by było w tej kwestii ulepszyć :-)

r   e   k   l   a   m   a

Specyfikacja maszynki:


Procesor: Intel Celeron 1.7 GHZ
RAM: 256 MB DDRI
Dysk twardy: 40 GB ATA (planuję zakup dodatkowego HDD)
Płyta główna: VIA (model dopiszę tutaj później, aktuanie nie jestem w stanie go zdobyć)
Karta sieciowa: zintegrowana na płycie 100 mbit/s
Karta dźwiękowa: zintegrowana na płycie
Karta graficzna: ATI Radeon 9200 SE

Dlaczego potrzebny jest osobny serwer do backupów*?

W teorii mój serwer główny "O'Neill" też mógłby wykonywać kopie zapasowe, jednak jest to terminal z jednym mało pojemnym dyskiem twardym podłączonym pod jedyny port USB 2.0 (reszta jest USB 1.1).

Po przemyśleniu tego wszystkiego zebrałem kilka argumentów za i przeciw osobnej maszynie do backupów:

Za:
1. Mniejsze prawdopodobieństwo awaryjności (nie pracuje 24/7h)
2. Brak dostępu do danych z zewnątrz, mniejsze prawdopodobieństwo włamania
3. Większa elastyczność w porównaniu do serwera głównego, jest miejsce na kilka dodatkowych urządzeń, dysków twardych, SSD

Przeciw:
1. Większy pobór energii (rozwiązanie tego problemu znajduje się w dalszej części tekstu)
2. Dodatkowy system do opieki, lecz tutaj nie wiele stoi na przeszkodzie bo Uniksy można ładnie zautomatyzować
3. Trzeba gdzieś to wielkie pudło ulokować :-)

Uważam ogólnie, że o wiele bezpieczniej jest trzymać wszystko na osobnej maszynce która nie pracuje 24/7 co jest jedynie zaletą tutaj ponieważ serwer nie jest tak wystawiony na świat zewnętrzny a także na uszkodzenia fizyczne spowodowane po prostu zużyciem się sprzętu. W końcu każdy sprzęt ma swoją żywotność.

Minimalizacja poboru mocy

Zasilacz serwera backupów ma moc ok. 15 razy większą niż terminal który jest serwerem głównym, jest to znaczna różnica która pozwala mi zdecydować która maszyna będzie pracować przez całą dobę.

Serwer kopii zapasowych Teal'C posiada zasilacz o mocy ok. 300W a O'Neill jakieś 20-30W, doliczyć należy także laptopy czy komputer stacjonarny innych domowników to się zsumuje niezła liczba :-)

Rozwiązanie problemu jest bardzo proste, otóż większość płyt głównych posiada wbudowaną funkcję Wake On Lan czyli budzenie komputera po sieci.

Przy pomocy WOL można wysłać specjalny sygnał do karty sieciowej która uruchomi cały komputer jeżeli jest on wpięty do zasilania. Pozwala to zaoszczędzić bardzo dużo energii, komputer może być budzony przez serwer główny który ma mniejsze zapotrzebowanie na energię elektryczną.

Szyfrowanie backupu

Poufne dane można zaszyfrować algorytmem AES, jest to zabezpieczenie które uniemożliwi włamywaczowi odczytania danych nawet jeżeli zostały one wykradzione.

Oczywiście problem leży w tym gdzie będzie trzymany klucz szyfrujący.

Tak więc istnieje kilka sposobów:

1. Serwer główny posiada klucz i szyfruje dane
2. Nawet serwer główny nie zna klucza, za to człowiek musi przy każdym bootowaniu serwera głównego wpisywać klucz aby zamontować nośnik Truecrypt którego kopia będzie zapisywana na serwerze backupów

Dzięki zastosowanemu szyfrowaniu można wysyłać poufne dane także w chmurę do usług takich jak Dropbox czy Ubuntu One bez obaw o nieautoryzowany dostęp do danych.

[color=#00bfdb]Rozrywka czyli inne zastosowanie oprócz backupu

Od czasu do czasu serwer backupów może posłużyć jako serwer gier dla kilku osób w sieci.

Serwer główny mógłby udostępniać panel WWW z włącznikiem serwera gier na X minut i Y godzin tak aby móc pograć ze znajomymi na LANie z założonym serwerem gry i skonfigurowanym w kilka sekund.

Posiadając na serwerze GRSecurity, SELinux można kompletnie wyizolować proces serwera gier od reszty procesów w systemie przez co będzie on mniej groźny dla systemu.

Oczywiście istnieje także możliwość przydziału zasobów dla serwera gier przykładowo do 30% użycia procesora czy 10% pamięci ram, 2 wątki.

Skoro wszystko można kontrolować, to czemu by nie zaimplementować dodatkowego rozwiązania - mowa tutaj o serwerze gier który byłby z łatwością stawiany na X czasu.

* kopia zapasowa 

Komentarze