synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяОсновные Вопросы по Продукции › DS 210+/710+: iScsi и шифрование

DS 210+/710+: iScsi и шифрование

NDim · 06.10.2010

DS 210+/710+

 

Поддерживается ли у subj шифрование Lun'ов iScsi?

Прочитав документацию, нашел только о шифровании расшаренных папок.

mowgli · 06.10.2010

а чо протокол iscsi каким то образом предусматривает шифрование томов ? предлагаю немнога поучить матчасть.

NDim · 06.10.2010

Предлагаю объяснить в чем логическая неувязка?

Lun'ы на диске? На диске.

Обслуживаются через операционку? Через операционку.

В операционке шифрование через чип есть? Есть.

Протокол iScsi рождается после забора данных с диска, перед передачей сетевой карте? Да и скорее всего софтом, поскольку диски не SCSI и даже не SAS.

 

Почему бы не быть шифрованию ДАННЫХ, которые лежат на Lun-ах???

 

Если есть дельные соображения, добро пожаловать, а так - учить русский!

mowgli · 07.10.2010

противоречие в том что они обслуживаются через клиентскую операционку. искази обеспечивает только транспорт.

по качену. стандарт почитай, там все ясно описано. шифрование возможно но только на транзите.

 

ps. гыгы вот граматеи как рас регулярна всякую ересь и забавные вопросы пишут, вместо того что бы изучить матчасть.

NDim · 07.10.2010

Ну чтож, мистер УМНИК, видно, что в живую на подобных устройствах вы iScsi не щупали, кроме стандартов ничего не видели, головой подумать -сложно, а выпендриться хочется - актив мембер, >700 сообщений.

 

Пойдем по пунктам - Возьмем QNAP TS-219P, который щупал Я.

1.

противоречие в том что они обслуживаются через клиентскую операционку.

Обслуживаются они через хостовую операционку.

При создании Lun iScsi через админку устройства надувается файл типа /share/HDA_DATA/[email protected]/iSCSI-<<Имя таргета>>-4cada4d9.000 объемом, указанным при создании.

Увидеть это можно, распотрошив файл параметров /mnt/HDA_ROOT/.config/iscsi.conf

Таким образом, как вы МОЖЕТЕ увидеть образ Lun'а лежит в самой обычной папке файловой системы хранилища, точно такой же как и общие папки, например /share/HDA_DATA/Public.

Поскольку папка /share/HDA_DATA/Public шифруется, почему бы не шифроваться папке /share/HDA_DATA/[email protected]/.

 

Но это все для QNAP. Вопрос был про Synology. Был бы у меня subj, я бы и не спрашивал.

 

2.

искази обеспечивает только транспорт. по качену. стандарт почитай, там все ясно описано. шифрование возможно но только на транзите.

Про iScsi вас никто и не спрашивал, вопрос был совершенно другой- шифруются ли данные Lunов на самом DS 210+? Сильно сомневаюсь, что бы Вы сами читали этот стандарт, иначе бы поняли что этот вопрос заканчивается еще до того, как начинаются требования стандарта. Вопрос относится к внутренней организации хранилища и системы шифрования.

 

3.

ps. гыгы вот граматеи как рас регулярна всякую ересь и забавные вопросы пишут, вместо того что бы изучить матчасть.

в п.1 и 2 мы выяснили, что ересь и забавные посты пишете вы, граматеем вас не назовешь, да и с матчастью у вас не важно.

Ссылка на матчасть срабатывает только на таких же как вы недоспециалистах. Конкретику пожалуйста, да с примерами. Для дальнейшего разговора было бы неплохо получить от вас ссылки на конкретные пункты стандарта iScsi.

 

Есть на форуме кто-то с прямыми руками (хотя бы представители компании- производителя) кто может ответить на вопрос?

mowgli · 07.10.2010

да, согласен логика есть и механизмы хоста будут растроастранятся на файл тома, но луном он является только в рамках сервиса искази. какой вопрос. ну и кроме этого загадочен смысл использования механизмов шифрования такого маломощьного хранилища как нас, а не встроенных механизмоф клиентской файловой системы. будете думать головой прежде чем задать вопрос или подождете пряморуких красноглазиков ?

NDim · 07.10.2010
да, согласен логика есть и механизмы хоста будут растроастранятся на файл тома, но луном он является только в рамках сервиса искази. какой вопрос.

 

Приятно видеть умные мысли- после прямого по печени.

 

ну и кроме этого загадочен смысл использования механизмов шифрования такого маломощьного хранилища как нас, а не встроенных механизмоф клиентской файловой системы.

Смысл есть, хотя он вам и не виден, за недостатком опыта. Я уверен, что любой админ среднего предприятия озабоченный проблемами физической безопасности сходу сочинит вам пару-тройку примеров, когда надо увести системы с клиентских машин, сохранить возможность беcпроблемной загрузки и обеспечить физическую безопасность данных.

 

Конкретно эти хранилища взяты для примера, хотя скорости аплоада/даунлоада при iScsi и шифрования по отдельности для моих целей достаточны (графики есть на сайте). Вот бы еще кто-то наконец ответил на вопрос темы и если ДА, то померил.

 

Очень интересно также использование заявленного хардверного шифрования - как его мимо ФСБ возят? Cisco c AES, например, не пускают.

 

будете думать головой прежде чем задать вопрос или подождете пряморуких красноглазиков ?

Как ни странно, головой думаю всегда, причем верхней, остальное тоже использую по назначению.

Пряморукого ответа хотелось бы - неважно с какими глазами - все равно по сети не видно. А у вас - какие?

mowgli · 07.10.2010

особенно приятно что несмотря на кривовато поставленный вопрос стало ясно что нужно. а откудо было решено что какой то паблик на кунапе - обычная папка?

 

ок, как админ средрего предприятия нарисуйте профиль подключения использования и отключения искази тома, шифруемый средствами тарждета.

 

у циски сикьюр бандлы не пускаются, но это веть ничему не мешает.. учитыва механизм использования шифрования в насах проблем с доступом быть не должно. тот же битлокер будет криптоустойчивей. но это итак понятно исходя из расписанного профиля, или еще нет ?

сон нормальный, авралов нет. удачного приобретения опыта =)

NDim · 08.10.2010

Понял, что ответа на вопрос не будет, доказывать никому ничего не собираюсь - Не вижу смысла заниматься интеллектуальным онанизмом. Дешевле получить железку и посмотреть. Всем спасибо, все свободны.

mowgli · 08.10.2010

действительно чо писать когда изначально сказать нечего. если опыт нароется - возвращайтесь и делитесь =)

NDim · 21.10.2010

По итогу полевых испытаний ответ на мой вопрос - да, проверено на 210+ -работает, быстродействие приемлемо для моих задач, но в любом случае через бубен.

Тему можно считать закрытой.

 

Вам, уважаемый mowgli, отвечу, что ни одной полезной мысли по вопросу в ваших постах не наблюдалось, хотя сказать вам всегда есть чего.

Вопрос в том нужно ли это говорить или лучше признать, что ничего не знаешь по теме и помолчать.

mowgli · 21.10.2010

аналогичная фигня с вашей стороны. упертость в тупиковой парадигме. в итоге диалога не получилось, тема беспалезна.

mowgli · 27.10.2010

по мативам этого тупаватого треда при случае поразбирался в принципах криптосистем кунапов/синалоджиков.

в первых используется luks, драйвер для работы с блочными устройствами, со всеми плюсами и минусами этого.

в синалоджиках ecryptfs, но применяется она только для пользовательских шар. хотя конечно можно замонтировать любой каталог, в том числе и с iscsi томом. правдо смысл это может представлять только для бальных на голову гиков =)

 

для всех остальных кмк система на синалоджике дает больше гибкости: вопервых можно иметь несколько криптованых папок в рамках одного тома и открывать их отдельно по требованию. во вторых можно бекапить, в том числе и инкриментно не замонтированную папку с закриптованными данными.. кроме этого мне тут люди намекали что скорость работы с томом у кунапа достаточно ужасна, у синалоджика можно выборочно шифровать только нужное +на ряде моделей под криптософт заточен на сопроцессор.

ilinvv · 14.01.2011

Добрый день. Задачи бывают разные и для некоторых из них приходиться и извращаться. Подскажите если не трудно каким способом вами было реализовано шифрование LUN? Стандартными средствами? Мне приходит в голову только вариант из консоли.

tornado · 23.02.2011

буду рад, если кому-то пригодится

 

http://slack.moy.su/blog/2011-02-23-5

NDim · 24.02.2011
Добрый день. Задачи бывают разные и для некоторых из них приходиться и извращаться. Подскажите если не трудно каким способом вами было реализовано шифрование LUN? Стандартными средствами? Мне приходит в голову только вариант из консоли.

 

Шифрование было реализовано почти как у коллеги tornado, с единственным изменением: поскольку все это затевалось для работы БЕЗ :) автомонтирования, то вопрос решился рестартом сервиса iscsi после ручного монтирования " /usr/syno/etc.defaults/rc.d/S78iscsitrg.sh restart". После рестарта все работало на ура. Установленную галку автомонтирования слишком легко потом забыть.

 

Шаг №4 из алгоритма не проверялся, но возможно так оно и есть - система заливалась духом нортона по сети, до перемещения в шифрованную папку, хотя для меня этот момент странен - сама система блочной работы iscsi отрицает возможность какой-либо зависимости от места хранения.

 

Важный момент № 4 не рассматривался - предполагалось, что после создания lun-ов в консоль хранилища для работы с файлами никто лазить не будет, пароль соответсвенно будет только у проверенных товарищей.

 

Рад, что есть понимающие товарищи, знающие толк в извращениях. Вообще, получилось чудесное бюджетное решение на 3-4 (может и больше, не проверял) компа. Кстати еще одна ссылка, которая может пригодиться: загрузка компов производилась прямо с lun-a с помощью утилиты товарищей из проекта gpxe : http://etherboot.org/, через флешку. У них есть возможность и прошить карточку для загрузки, к примеру встроенную в ASUS P7P55D.

tornado · 14.03.2011

не было особо времени копать поглубже, потому может кто уже раскопал, так поделитесь:

 

1. штатный losetup не поддерживает флага -e, как тогда осуществляется loop-aes замыкание? Как-то же монтируются шифрованные папки... если бы этот флаг поддерживался - было бы очень просто организовать шифрование iSCSI контейнеров...

 

2. кто чем читает/пишет текстовые файлы из под консоли?