Willi Studer Posted October 14, 2019 Report Share Posted October 14, 2019 Mislim da je ovo relevantno za one koji koriste serverske servise i one koji su otvoreni prema internetu. Nisam se sretao sa ozbiljnijim QNAP spravama i ne znam kakav operativni sistem imaju, ali mi njihovi SOHO uređaji baš ne ulivaju poverenje za te namene iako ih imaju ugrađene. Kućni QNAP, a verujem da to važi i za Synology, za skladištenje i pozivanje multimedije treba svesti na ono što mu samo ime kaže, a to je mrežni disk i to u lokalnoj mreži. Od funkcija treba dozvoliti share mount foldera sa isključivo read only privilegijama, DLNA povezivanje s uređajima, automatski bekap i po želji programirano paljenje i gašenje. Sa druge strane, treba potpuno isključiti sve cloud i serverske aplikacije, uPnP (on je posebno rizičan), FTP, Telnet/SSH pristup i ograničiti opseg IP adresa koje pristupaju NAS-u i kojim servisima (service binding). To može zahtevati malo posla oko dodele IP adrese svakom uređaju po MAC adresi na ruteru. Na ovako podešenom QNAP-u nisam imao nijedan pokušaj upada spolja, što se vidi po logovima. EDIT: moguće je čak potpuno blokirati izlaz NAS-a na internet ali se on u tom slučaju dosta buni jer ne može da ažurira tačno vreme (mada to može da usklađuje i sa kompjuertom preko koga mu se pristupa) i ne vidi nova ažuriranja. Što se samih ažuriranja tiče, ona bar u slučaju QNAP-a imaju tendenciju da sve više dave hardverske resurse, ne dodajući nikakve nove NAS funkcije. Verovatno tu ima i zakrpa u OS-u ali mislim da za izolovani NAS nisu kritične. Lično koristim stabilnu verziju QTS od pre godinu i po dana, s time što redovno ažuriram jedino DLNA i Malware scanner. Quote Link to comment Share on other sites More sharing options...
Iron man Posted April 25, 2020 Report Share Posted April 25, 2020 Nabavih Qnap sa dva Nasware 3.0 2 TBajtna diska. Wd Red. Neki savet oko konfigurisanja? Tidal, Kodi, torrenti, UPnP, dnla...? Šta već treba. Quote Link to comment Share on other sites More sharing options...
Willi Studer Posted April 25, 2020 Report Share Posted April 25, 2020 Koji model? Najvažnije pravilo kod korišćenja QNAP-a je da se OS ne ažurira nego da se ostavi na što nižoj stabilnoj verziji (kod mene 4.3.6). ne znam kako misliš da konfigurišeš diskove ali ako nemaš redundantnost van servera, onda je najpouzdanije da od dva diska jedan bude storidž i sistemski a drugi bekap storidža (ne mirror). Ako ne, onda thick volume RAID, 64K per inode formatiranje daje najveći korisni kapacitet diska. Glavne preporuke imaš u mom postu iznad. Ne preporučujem da NAS nešto "radi", na primer da skida torente i sl. Najbolje je koristiti ga upravo kao storidž, dakle slagati u njega pripremljene fajlove, i šerovanje preko share mounta i striming preko ugrađenog DLNA. Nikako uPnP. Pitaj ako zapneš negde. Quote Link to comment Share on other sites More sharing options...
nkrgovic Posted April 25, 2020 Report Share Posted April 25, 2020 Zar WD Red manji od 4TB nisu shingled ? Quote Link to comment Share on other sites More sharing options...
Iron man Posted April 25, 2020 Report Share Posted April 25, 2020 @Willi Studer Hvala na ponudi za pomoć. Ako (kad) zapnem ja ću da kukam. Prvo da proučim tvoja pisanija. @nkrgovic ne razumeh pitanje. Quote Link to comment Share on other sites More sharing options...
nkrgovic Posted April 25, 2020 Report Share Posted April 25, 2020 https://blocksandfiles.com/2020/04/14/wd-red-nas-drives-shingled-magnetic-recording/ Quote Link to comment Share on other sites More sharing options...
Green Posted April 25, 2020 Report Share Posted April 25, 2020 3 sati ranije, Willi Studer said: ...striming preko ugrađenog DLNA. Nikako uPnP. Može li neko malo opširnije objašnjenje oko ove preporuke?Hvala unapred. Quote Link to comment Share on other sites More sharing options...
garson Posted April 25, 2020 Report Share Posted April 25, 2020 41 minuta ranije, nkrgovic said: https://blocksandfiles.com/2020/04/14/wd-red-nas-drives-shingled-magnetic-recording/ Po ovome ispada da i Seagate i Toshiba rade isto, tako da ispade da svi to rade. Pitanje je koliko ovo i kaci siromu. A i slozio bih se ovde sa Willijem, jedan disk storidz a drugi bekap tog diska. Quote Link to comment Share on other sites More sharing options...
Willi Studer Posted April 25, 2020 Report Share Posted April 25, 2020 45 minuta ranije, Green said: Može li neko malo opširnije objašnjenje oko ove preporuke?Hvala unapred. uPnP je rizičan zato što otvara uređaj za hakovanje i malware. DLNA je tu mnogo sigurniji i najgore što može da se dogodi jeste da neautorizovani uređaji povlače striming sa servera. Za većinu mrežnih plejera i televizora dovoljni su share mount (mrežni disk) i DLNA. Quote Link to comment Share on other sites More sharing options...
Delija Posted August 2, 2021 Report Share Posted August 2, 2021 Jel neko poredio zvuk Innuos / Melco / Aurender / Lumin i slicnih sprava sa internim storage-om malo vise klase sa "klasicnim" racunarom ili pristojnim opet klasicnim NAS-om (QNAP, Synology...) u rezimu kada rade iskljucivo kao UPnP server-i? Kao streamer-e sam ih i sam slusao, ali to je neka sasvim druga prica. Quote Link to comment Share on other sites More sharing options...
sakal Posted August 6, 2021 Report Share Posted August 6, 2021 upnp ili dlna svejedno je sto se tice hakovanja i malwarea.Mozda je upnp malo dostupniji za to ali to je samo jedna od tacaka koje mogu biti napadnute. Quote Link to comment Share on other sites More sharing options...
zflazar Posted August 7, 2021 Report Share Posted August 7, 2021 pa šta? Većina na tim storage-ima svakako drži muziku koja je ukradena sa raznih torenta. Pa ako ti malo i štrpnu/drpnu od koncerta Eagles-a i nije neka šteta, nisu to kodovi za lansiranje nuklearnih raketa. Quote Link to comment Share on other sites More sharing options...
imarkovic Posted September 1, 2021 Report Share Posted September 1, 2021 Da se uključim u temu, iako je stara, uvek je interesantna. NAS kao neko manje storage rešenje je skroz ok, podržavam jer ima sve u jednom malom kućištu, monitoring i storage kroz mrežu. Iskreno, nisam ga nikad imao, ali koristio sam na poslu i trenutno koristim svakodnevno za podatke itd. Kod kuće sam nešto drugo uradio jer sam iskoristio ono što imam bez želje da kupujem NAS i odabrane diskove, odnosno to je sada server sa instaliranim Linux-om bez GUI-a. Poenta i prednost toga je sigurnost podataka (jer nemam samo muziku), brzina je 1Gbps i servis za share je Samba server. Pristup je dozvoljen svim uređajima isključivo iz moje mreže (rešeno preko firewall-a). Qnap takođe ima sličnu stvar, radi mu samba servis, ima firewall, antivirus i platforma je neki Ubuntu, daleko je jednostavnije i elegatnije rešenje i takođe za one koji nemaju gde da drže server i razvlače kablove itd. U mom slučaju je prednost to što sam instalirao sistem koji želim, nema bespotrebnih aplikacija i okruženja koji će opterećivati resurse. Ne koristim streaming. Za puštanje muzike koristim dedicated PC koji je zakačen na mrežu, ima Windows (ali može i Linux), to može da bude i Raspberry Pi. Po meni je bolje rešenje reprodukcija muzike ili preko mreže ili direktno sa diska, u odnosu na USB, iako nisam imao nikakvih problema ni preko USB 2.0. WiFi ne bih preporučio, jer to znači sporija nestabilna nepouzdana konekcija gde mogu da se dese i povremeni prekidi. Quote Link to comment Share on other sites More sharing options...
nkrgovic Posted September 1, 2021 Report Share Posted September 1, 2021 Firewall je ovde beskoristan, nece sigurno niko doci sa interneta kroz ruter - nema kako. Ono sto bi ja razmislio je : Da samba share bude read-only Eventualno, ako file system podrzava - snapshots, plus redovan backup. Scenario koji treba "pobediti" nije "neko sa interneta pristupa sevreru", to je bespredmetno. Scenario koji treba pobediti je: "Neko je nakacen na taj windows, kroz mimikatz - kako da ne osteti server" - ili ga makar usporiti. Quote Link to comment Share on other sites More sharing options...
imarkovic Posted September 1, 2021 Report Share Posted September 1, 2021 Naveo sam samo primer onoga šta ja imam kod sebe. Firewall je poželjan ako ti je mašina na internetu, u slučaju da neko koristi neku aplikaciju, nešto, pa mu treba net. Ako je samo u lokalnoj mreži, onda logično, naravno - ne. Samba share apsolutno može da bude read-only, kao i permisije. Ali nekad je to smaranje iz više razloga. Ne znam na kakvu vrstu snapshot-a misliš, celog sistema? Po meni nema potrebe, dovoljan je redovan backup i "sync". Eventualno automatski povremeni nedeljni, ili mesečni, ili tromesečni backup konfiguracije iz /root-a. Quote Link to comment Share on other sites More sharing options...
nkrgovic Posted September 1, 2021 Report Share Posted September 1, 2021 Snapshot tipa kao na ZFS-u Backup je OK, samo sto neki crypto moze da i njega sredi - zato kazem snapshots. Quote Link to comment Share on other sites More sharing options...
imarkovic Posted September 2, 2021 Report Share Posted September 2, 2021 Razumem, ali možda je malo previše...? Ne znam da li se razumemo, ali ajde odgovoriću, i izvinjavam se ako možda malo ide u "off", jer ovo ima više veze sa Linux-om nego sa NAS-om (mada i NAS ima Linux i Samba servis, kao i firewall) ali možda nekom bude od koristi. Ako imaš ono gore što sam naveo, haker treba ovo sve da prođe da bi ti uništio podatke (plus mora da koristi randsomware alat za Linux): - Pristup tvojoj javnoj adresi (ok, to može da pročita jer je javna, ali takođe je dinamička, tj. menja se, a može da bude i lažna) - Prolaz kroz tvoj firewall na ruteru koji je po default-u aktivan - Pristup tvom lokalnom opsegu koji jedino Samba dozvoljava, ostali su "deny" (automatski odbija njegovu adresu), takođe je zatvoren ranjivi SMB1 protokol - Tvoj username & password koji koristiš za pristup share-u (barem bi trebalo, jer je onda otvoren javno) - Pristup preko SSH (koji si limitirao samo ključem, koji automatski odbija konekciju ako je neuspešna posle 5x i stavlja u ban) - Pre svega ovog imaš firewall koji si ograničio samo na svoje adrese (ili lokalni opseg) - Sve ovo može i da pada u vodu jer ti taj server nisi ni otvorio, tj. pristup njemu, samo mu je aktivan SSH koji ne prihvata ništa sem ključa koji samo ti imaš. Da sam još uvek skeptičan, opet ne bih koristio FS snapshot, jer nije za tu svrhu, nego bih recimo kompresovao podatke i stavio password. To može da obriše samo ako ima "root" privilegije, što je gotovo nemoguće da dobije na taj način pristupa na ovako konfigurisanom sistemu. Kad bolje razmislim, sve ovo je možda komplikovano, tako da je uvek skroz ok da uzmeš neki veliki eksterni disk, prekopiraš podatke i isključiš ga i odvojiš sa strane Quote Link to comment Share on other sites More sharing options...
srdjan_cvetkovic Posted September 2, 2021 Report Share Posted September 2, 2021 19 minuta ranije, imarkovic said: Kad bolje razmislim, sve ovo je možda komplikovano, tako da je uvek skroz ok da uzmeš neki veliki eksterni disk, prekopiraš podatke i isključiš ga i odvojiš sa strane Ovo je jedino skroz pouzdano, dogod se backup radi sistematski na određen period, koji ne sme da bude preterano dug, a sa diskom se manipuliše na adekvatan način. Koristim NAS, ali za kritične podatke i muziku (nešto manje od 2TB) koristim dropbox za backup + fizički nezavistan disk koji kačim 1x mesečno da sve sinhronizujem i onda ide u fioku. Quote Link to comment Share on other sites More sharing options...
nkrgovic Posted September 2, 2021 Report Share Posted September 2, 2021 1 sat ranije, imarkovic said: Pristup tvojoj javnoj adresi (ok, to može da pročita jer je javna, ali takođe je dinamička, tj. menja se, a može da bude i lažna) - Prolaz kroz tvoj firewall na ruteru koji je po default-u aktivan Ma jok. To niko ne radi, to je brdo posla. Sve sto mu treba je da ti pokrenes nesto sto ce da uradi "call home" i otvori reverzni tunel. Onda je na tvom racunaru i ima tvoje kredencijale. I pre nego sto kazes "ja sam pametan", razmisli samo malo da ima mnogo njih kojima se to desilo, a nisu uopste glupi. Quote Link to comment Share on other sites More sharing options...
imarkovic Posted September 2, 2021 Report Share Posted September 2, 2021 Da, i meni se upravo desilo to na Windows-u 7 pored poslednje azurirane verzije ESET smart security, što me je i motivisalo da postavim odvojeni backup server sa ovim specifičnim sistemom. Doduše, okidač nije bio takav, već mojom kriticom sam privukao pola interneta time što sam eksperimentom od par sati otvorio port na ruteru. Quote Link to comment Share on other sites More sharing options...
nkrgovic Posted September 2, 2021 Report Share Posted September 2, 2021 Ovo sam cuo previse puta kao kombinaciju : Windows 7, koji vise nema update-e, plus neki "klasican" antivirus, signature based - i to najcesce Eset "jer je brz". Kapiram da je navika, ali to je bukvalno otvoren sistem: jedna losa web strana i mozes da fasujes neki RAT - i da ne znas sta te snaslo. Sve sto ces videti, osim ako nemas stvarno dobru zastitu na nivou mreze, je otvoren https tunel (a ti ne znas je'l tunel ili samo sajt ili bilo koja druga konekcija - socket je socket) ka nekom sajtu. Kroz to, lepo se "javi kuci", otvori reverse shell, stavi mimikatz - i uzivancija. Bolje nego da sedi za racunarom. Quote Link to comment Share on other sites More sharing options...
imarkovic Posted September 2, 2021 Report Share Posted September 2, 2021 Pa...Ne baš. Evo primera iz bivše firme, gde je poprilično bila zaštićena mreža, iza koje je Cisco firewall, ali džaba to kada moraš da dozvoliš port. Sistem je bio Windows server 2019 tek instaliran za koji su zahtevali otvoren RDP, što smo i uradili. Nakon samo par dana server je bio neupotrebljiv, pretpostavljaš šta se zbilo . Od tada isključivo VPN i nema problema. Quote Link to comment Share on other sites More sharing options...
Zexx Posted September 2, 2021 Report Share Posted September 2, 2021 Rešenje za otvoreni RDP port (i ne samo taj), može da bude jeftini softverski IPS kao što je recimo RdpGuard, ili prosto konfigurisanje RDP pristupa preko nekog nestandardnog porta. Quote Link to comment Share on other sites More sharing options...
nkrgovic Posted September 2, 2021 Report Share Posted September 2, 2021 Nisam shvatio sta je ne bas... ? Ne bas da, ako sednes za Windows 7 koji ima samo tradicionaln antivirus imas sanse da fasujes neki remote access trojan su.... Mislis da nisu? Ili ne bas da firewall necemu sluzi? Mislim, ne sluzi tome - ne mozes firewall-om da resis konekcije otvorene iznutra, to i jeste sustina price. To za otvoren RDP ne vidim da ima da se komentarise - offtopic je ovde, plus je glupo kao koncept. Shodan te nadje za dva dana.... Uglavnom, apropo forumasa i NAS-ova: Sve sto ja zelim reci je : Backup sluzi da se sistem zastiti od nekoga ko sedi za vasim racunarom. To je sustina i o tome treba misliti kad ga pravis. Danasnji mallware, u sustini, stavlja "bad actors" u tu poziciju. Zastareli sistemi su u sustini otvorena pozivnica za "lose momke", ako samo koristite internet na njima mozete da fasujete mallware koji ce im omoguciti pristup celoj vasoj mrezi. Ovo drugo je veliki problem koji vecina ignorise - zato ja uporno pisem o tome. Quote Link to comment Share on other sites More sharing options...
Vlajo Posted September 3, 2021 Report Share Posted September 3, 2021 Treba mi preporuka za jedan od ova dva QNAP TR002 ili QNAP TR004, ne bih koristio kao NAS već kao DAS, da zakačim za komp usb C kablom, dosadilo mi je više da svaki čas kačim eksterne kad mi nešto treba. Da li uzeti 2 hdd od 4tb za 002 ili 4 od 2tb za 004, ne treba mi mnogo prostora, napravio bih mirror raid za svaki slučaj ili nešto drugo, uglavom bitinija mi je sigurnost podataka nego brzina i veličina prostora. Kabl iz QNAP-a ide usb C na usb A, pretpostavljam da može obostrani usb C jer mi matična podržava usb C. Hvala unapred 👍 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.