Comments | 2gusia: Даешь собственное облако или ставим owncloud в jail nas4free

2gusia

Даешь собственное облако или ставим owncloud в jail nas4free

Sep 01, 2013 18:55

Кругом облака. Одному создателю известно, что они там с нашей информацией делать будут и сколько на там проживёт. Когда нам расскажут, что можно там хранить, а что нельзя. Так что мы просто на всякий случай, пойдём на север создадим собственное облако, которое будет жить на собственном NAS. И когда понадобится хоть ещё пара терабайт - просто ( Read more... )

owncloud, cloud, it, руками, nas, nas4free

Comments 64

sekundator September 1 2013, 18:55:48 UTC

Не могли бы Вы объяснить какой смысл организовывать облако для себя у себя же на сервере? Чтобы что? Ведь при необходимости итак все мои ресурсы у меня в распоряжении.

Чего я не понимаю?

2gusia September 1 2013, 19:21:31 UTC

Облако - оно доступно отовсюду. На планшете, в отпуске, в автомобиле. Мне и/или тому, кому я захочу дать доступ.

Своё облако свободно от ряда ограничений - я могу в нем иметь и терабайт и десять. Могу, например, иметь доступ ко всей медиатеке везде, где есть интернет.

Перенесение чего-либо в собственное облако - практически мгновенное.

Мне надо даже не скопировать - даль симлинки на нужные ресурсы. Закачивать что-то в коммерческое облако - ещё та радость.

И я могу иметь доступ к любому документу без опасений, что большой брат его через моё плечо читает. Ну, точнее, с меньшими опасениями.

Ну и так далее.

sekundator September 1 2013, 19:31:33 UTC

Правильно ли я Вас понимаю, что создать облако у себя на сервере и дать ему выход в тырнет это безопаснее, чем сделать возможность обычного доступа к ресурсам сервера ?

Это вопррс в свете недавних Ваших предостережений оставлять открытым доступ из-вне

2gusia September 1 2013, 21:25:32 UTC

Это примерно равно опасно.
Облако в моём случае чуть менее опасно тем, что оно сидит в клетке (FreeBSD jail), откуда затруднительно вырваться в основную систему.
А файлы в jail можно дать только на чтение.

Кроме того, в обоих случаях требуется создать затруднения для взлома.
К облаку обращение идёт по https - весь трафик шифрованый, созданы устойчивые к взлому ключи и подписан сертификат.

Собственно, если также сделать с sftp доступом - то, IMHO, можно.

на пальцах это примерно как я накатил стальную дверь в кирпич толщиной и установил замки как в банке. Плюс дверь ведёт в специальную коморку, откуда нет выхода в квартиру. После этого надеюсь, что дрянь не залезет.

как сделать такую дверь по sftp - думаю, напишу превод того how-to вскоре

ext_981372 September 2 2013, 05:36:25 UTC

" С точки зрения безопасности меры предпринимаем серьёзные - https, openssl, ключ с удалённым из него паролем, подписаный вами же сертификат. Плюс всё это во FreeBSD jail, что даёт eщё одну линию защиты ( ... )

2gusia September 2 2013, 07:25:59 UTC

Огромное спасибо за квалифицированный и развёрнутый ответ.

>Во-первых, обычный bruteforce по взлому пароля
При использовании традиционных правил - без словарных слов, буквы разных регистров и цифры, более 8 символов (а реально много более) брутфорса я не очень опасаюсь.

Во всяком случае наши IT-шиники периодически проводят тренировку по внутренним взломам паролей брутфорсом. У 10-30% сотрудников их ломают. У меня не сломали ни разу.

>хоть он в принципе ничего и не даст в случае удачи, кроме доступа к файлам
это тоже важно - стоит ли рыть, если попадёшь туда, где взять нечего?

>owncloud не ведет лога доступа.
Роутер ведёт логи. У меня http://forum.ixbt.com/topic.cgi?id=14:59506
про fail2ban и в роутере и в nas - покурю, спасибо. Вроде бы в роутере есть аналогичный механизм, но сомневаюсь, что он активирован по умолчанию

>Если знать кодовое слово
Я так понимаю, его кроме как брутфорсом тоже не узнать?

ext_981372 September 2 2013, 07:48:12 UTC

"про fail2ban и в роутере и в nas - покурю, спасибо. Вроде бы в роутере есть аналогичный механизм, но сомневаюсь, что он активирован по умолчанию"
Ну роутер как правило пробрасывает запросы виртуальному серверу, и разбираться с запросом нужно именно серверу. Те роутеры с которыми я общался могут только отбивать syncflood атаки.

"Я так понимаю, его кроме как брутфорсом тоже не узнать?"
Оно узнается так. Злобный какер скачивает owncloud, пару дней сидит над кодом и узнает кодовое слово, которое позволяет остановить движок и производить какерские действия

2gusia September 2 2013, 08:19:31 UTC

>какер скачивает owncloud, пару дней сидит над кодом и узнает кодовое слово, которое позволяет остановить движок и производить какерские действия

то есть это кодовое слово не зависит от паролей и пр? Тогда это дыра такого размера, что owncloud должен был либо отмереть либо дыру закрыть - почему этого не произошло?

Thread 16

ext_981372 September 2 2013, 05:46:28 UTC

Да, спасибо за тестирование версии TheBrig

2gusia September 2 2013, 07:27:50 UTC

Собираюсь продолжить, вам спасибо за превосходный продукт.

ext_981372 September 2 2013, 11:36:39 UTC

Починил лог.
Теперь инсталлер засылает сообщение об успешной установке

ext_728750 November 13 2013, 08:56:15 UTC

привет, только благодаря вашему блогу возможно хоть как-то настроить NAS, спасибо.
Я так понимаю файлы загруженные в owncloud на сервере лежат в зашифрованном виде? (то есть нельзя зайти на сервер по ftp и посмотреть эти файлы и скопировать куда нибудь в другое место?)
И, исходя из этого, нельзя настроить fstab для этого джейла? (хотелось бы смонтировать внешнюю папку Work в owncloud)

2gusia November 13 2013, 10:18:18 UTC

Спасибо за отзыв. Всё и началось с того, что мне было легче написать, чем объяснять по телефону приятелю в другом городе :)

>файлы загруженные в owncloud на сервере лежат в зашифрованном виде?
Я сейчас выключил owncloud, но насколько помню - там сгенерированные уникальные имена типа adnsfjkh38zdl9.jpg, но контент не шифрован.

Так что смотреть можно, fstab подоткнуть - можно, но увидит ли он не свои файлы- надо смотреть. Думаю - не увидит, только то, что в базе данных упомянуто.

ext_728750 November 13 2013, 19:47:44 UTC

сам же задал вопрос, сам же нашел ответ. но без такого круговорота, кажется никак.
итак: файлы не шифрованны и даже без уникальных имен, лежат преспокойно по пути owncloud/usr/local/www/owncloud/data/ваш логин/files
fstab подтыкивается так же запросто. смонтировал туда всю аудиобиблиотеку и owncloud, немного подумав, проиндексировал их. все работает (глянул по быстрому и удивился, что встроенный плеер даже FLAC проигрывает).
большое спасибо. ждем новых постов.

koolru January 7 2015, 22:17:28 UTC

Но вот галлерея /index.php/apps/gallery после такого у меня не открылась... видать превьюшки не может создать...

koolru January 7 2015, 11:38:02 UTC

Спасибо.
Я на 443 порт сразу воткнул,
хотел еще и настоящий сертификат сделать (на startssl.com они забесплатные), но пока не ставил (микрософт в порыве жадности закрыло админку на кастомных доменах :( ).

UPD Как прикрутить настоящий сертификат https://forum.startcom.org/viewtopic.php?t=719