2020-03-02
子供が出来て卒アルとか本人は見たいけど、後々どうすりゃいいのかわからんのを、My Serverで保管したい。
有料サービスも魅力的
- Dropbox 1TB \12000円/年
- MS Office 365 Solo 1TB \12984円/年
- Personal Vault 1TB \13340円/年(税金か値上がりか)
- Google drive 1TB \15600円/年
- Amazon Drive 1TB \13800円/年
高いように思うけど、例えば消費電力50Wのサーバーを一台用意すると、電気代だけで0.050(kW) x 24(h) x 365(day) x 30(大体円/kWh) = 13,140円/年
電気代に加えサーバー減価償却費+メンテナンス費を考えるとそれ程お得でない。
所で必要な容量は
将来どうでもいいメモ、紙のノート、卒アル、音楽データやセルフィーの容量をざっと見積もりと8TB以上あった。
どうしよう。会社なら間違いなくクラウドストレージだな。但し、クラウドストレージはデータの転送は遅い。やりたいことが動画編集の場合、手元PCにも同容量のSDDを準備しないといけないのでその辺りのコストが掛かる。
データの種類を分けると
ざっと分けてみる
- 一番多いのが子供の動画。家族の動画。
- 一時期写真にハマっていて、そのRAWデータ。
- 昔のダウンロードコンテンツ。新聞などのスクラップ等。
- 家族にも秘密の陰キャ卒アル
つまりデータストレージの種類として
3種類に分けてみる
ファミリーオープン系
将来家族に判断してもらう
- 家電の取扱説明書
- 家族の写真 動画
- 見れるとき見たいけど、子供たちにさっと消してもらえるもの。
ファミリーオープン系は正直家族のGoogle accountでいいと思うが、子供が幼稚園に行くまでにあっさりと無料エリアは使い切ってしまった。
夫婦の秘密の財務用
- 銀行のパスワード
- 資産債務状況
- 保険の整理
- 差し押さえられても絶対に教えられない隠し財産
暗号化されたクラウドが良いだろう。
存在すら知られてはいけない
- サーキットで廃車にした車の事とか
- 今でもたまに見る昔の彼女の写真(今見ると幼い子供時代の記憶が)
- 黒歴史(高校)
- 一人で見る趣味の動画
容量が1TB程度ならクラウドも良いが。動画もあるので超えそうだ。
サーバ2か所
よくよく考えると暗号化もできるWindows server がよさそうなんだけど、イニシャルコストが高い。手始めに家庭内サーバを用意することにする。機能は
- リモートバックアップ
- alfresco(チャレンジしてみたい)
- Nas for free / Free nas
- zfs
できたらiPhoneの様に普段はセキュリティばっちりでロック解除で使いやすいものが良い。しかもバックアップ取れてる。
Windows10のOSバックアップを取りたくなった
つい先日一つのノーパソがシステムが起動できなくなった。復旧しようにも「中核ファイルが無い」「システムイメージが無い」とかで出来ず。データの確実な救出と復元に1か月くらいかかってしまった。普通にwindowsのバックアップ取って有ればよかったと思えてしまった。
Windows server backup問題点
一般的に言われている問題点とその解決方。要するに大変な思いするくらいならサードパーティー選べと。
バックアップの成否確認がメール通知出来ない
システム管理会社が営業で使うならサードパーティーだね。
フルバックアップ・増分バックアップの指定は無い
やっぱりコマンドスクリプト系
世代数を指定できない
(Windows Server バックアップにおける容量と世代管理について)手元のディスクでMax512世代と。
まあ十分なような。ランサムウェアに感染したらローカルから世代くぐって。ローカルが壊れたら外部から丸っと復元して。
ランサムウェアに掛かってからローカルから復元しようとして、ローカルが壊れたら・・・・どうしよも無いのかな。
外部出力できない(外部出力は一世代のみ)
(リモート支店NAS等)共有フォルダーへの出力は一世代分のみしかできない。(Windows Server バックアップにおける容量と世代管理について)ここに1世代と書いてある。
但しコマンドスクリプトで何とかなる。
Backup1.bat
wbadmin start backup -backupTarget:\\192.168.1.1\Backup1 -include:D: -vssFull -quiet
Backup2.bat
wbadmin start backup -backupTarget:\\192.168.1.1\Backup2 -include:D: -vssFull -quiet
このバッチファイルをWindows タスクスケジューラで1日おきに交互に実行することで2世代のバックアップ管理が可能ref: https://www.pct.co.jp/technical_note20200303
今までの遍歴
いままでtryしての苦い思い出は、IODATAのExtfs2によるファイルが多い時の遅さ。xoopsによるサポートが切れたときのむなしさ。
そして独自xfsによるNAS(よかった)。しかし動画などによるサーバーの遅さ。
そしてバックアップが完璧でないことから、結局のところメディアは散乱状態。
以下メモ
| Apple | Windows | QNAP | Synology | |
| リアルタイム同期 | Robocopy Rsync | |||
| 同期 | RTRR | |||
| チーム共有 | Dropbox OneDrive Google Drive | Synology Drive Client | ||
| ロールバック | Time Machine | Windows 7 backup | NetBak Replicator (Free) | |
| 重複排除 ブロック | Server | Hybrid Backup Sync 3 QuDedup(x86) | NO | |
| 重複排除 | 上 | |||
| レプリケーション | Hybrid Backup Sync 3 | |||
| データ転送抑制 | Hybrid Backup Sync 3 | |||
| データー保護 | BitLocker VeraCrypt | Hybrid Backup Sync 3 | ||
FreeNasにしてもNas4Freeにしても暗号化は気にしていない。
NAS暗号化
QNAP等は暗号化フォルダがある。手元のPCのkerberos認証できたら良いのに。但しサーバーサイド暗号化。クライアントでは暗号化されたままではない。
ZFS良いところ
重複排除
snapshot
ZFSで iSCSI
ZFS上にNTFSを作れる。但しマウント解除するまで zfs snapshot 出来ない。
ZFSでVeraCriptが正義か
これなら何とかなりそう。
QNAP vs Synology
QNAPもsynologyもセキュリティリスクはある。「多分だけど挙がっている脆弱性そのものは、Synologyのが多いかもしれないが実際のインシデントはQNAPの方が多いように思う。攻撃対象になりやすい。」
「こういう事でもQNAPはしっかり知識のある人向けだなadmin無効化とかデフォルトポート変更とかFirewallの適切な設定とかオーソドックスなセキュリティ対策を知らない勉強もしないと言うなら買うべきじゃないNATとFirewallの区別出来ずUPnP無効にしろとかバカ言ってるのまで居るし笑っちゃうよ」
ZFS対応NAS
QNAPはZFSサポート。synology はBrtfs が足かせ?
SMB暗号化は通信経路はAESで暗号化されるが。ファイルシステムは?SMB 暗号化は保存時のセキュリティには対応しておらずorz
個々のファイル共有の SMB 暗号化を有効にするには、サーバーで次のスクリプトを入力します。
Set-SmbShare –Name <sharename> -EncryptData $true
ファイル サーバー全体で SMB 暗号化を有効にするには、サーバーで次のスクリプトを入力します。
Set-SmbServerConfiguration –EncryptData $true
SMB 暗号化を有効にして新しい SMB ファイル共有を作成するには、次のスクリプトを入力します。
New-SmbShare –Name <sharename> -Path <pathname> –EncryptData $truefsutil fsinfo volumeinfo でNTFS EXT4 Windows Linux等出来る事が違うのか分かる。
暗号化したままのバックアップできるかどうか
サーバーでのデータ暗号化
Active Directory を Mac でログインが最強か?
BilLocker drive は暗号化を管理者ユーザーで解除できる。但しパスワード解除後。
VeraCrypt
VeraCrypt Dropbox
Linux
EncFs
マウントしたユーザー以外はrootであってもアクセスできない。
eCryptFSはこのような制限はなく、/や/homeをマウントすることも可能。
cloud
Boxcryptor
Cryptmator
1つのWindowsアカウントで複数のDropboxを起動する方法
C:\Windows\System32\runas.exe /savecred /user:コンピューター名\ユーザ名 “C:\Program Files\Dropbox\Client\Dropbox.exe”
公開の範囲と暗号化
| family open | 財産 | black | |
| 自分 | 1 | 1 | 1 |
| 妻 | 1 | 1 | |
| 子供 | 1 | 将来 | |
| ファイル名を含めた暗号化 | 0 | 0 | 1 |
理想
NASマウント-PW入力—入力されたPWハッシュをキーに復号化
運用
| 運用 | 通信経路 | バックアップの仕方 | 世代 | Zero Knowledge encryption | ||||
| SMB暗号化 | ||||||||
| WindowsServer EFS | ? | 1 | ? | SMB3.0 | 商用 | |||
| NAS 暗号化フォルダ | NFS禁止 | |||||||
| CloudFogger | ||||||||
| BoxCryptor | ||||||||
| https://www.viivo.com/ |
仕組み
参考 ディスク暗号化
| 仕組み | Linux | Windows | Mac | open | encryption level | 増分 | ファイル名の暗号化 | 暗号強度 | 暗号化ファイルの共有 | ||
| GNU Privacy Gurad (PGP) | メールで良くある | A | |||||||||
| EncFS | 暗号化ディレクトリを復元化ディレクトリで使用 | LGPL | F | 自然 | 190 | 日時などが暗号化されず弱い | |||||
| eCryptfs | 1 | 0 | 0 | GPL | File | ファイル名の長さが45? 143? | |||||
| cryptmount(dm-crypt) | 1 | 0 | 0 | GPL | Block | ||||||
| dm-crypt | 1 | 0? | 0? | GPL | Block | ||||||
| LUKS(backend dm-crypt) | 1 | FreeOTFE | ? | Disk partition | GPL | Block | |||||
| VeraCrypt | 1 | 1 | 1 | Volume | Apache License 2.0およびTrueCrypt License version 3.0 | A | volume expander | ||||
| DBMS | A | ||||||||||
| OpenSSL | A | ||||||||||
| Themis | A | ||||||||||
| BitLocker | 1 | 商用 | Block | drive | Yes | ||||||
| EFS | 1 | 商用 | File | File | No | ユーザ毎証明書インストール | |||||
| FileVault | Block | ||||||||||
| SED | S | ||||||||||
| OPAL | S | ||||||||||
| ZIP | A | No |
Level
| Application |
| File System |
| Block subsystem |
| 暗号化したままバックアップを取るとまるまるバックアップしてしまう。 |
| Strage hardware |
本業設計!! 