👱🏿 👃 🔦 एक सुरक्षित एनएएस सॉफ्टवेयर प्लेटफॉर्म का कार्यान्वयन 🌙 🧝 💤

पिछले लेख में , NAS सॉफ़्टवेयर प्लेटफ़ॉर्म के डिज़ाइन का वर्णन किया गया था।
इसे लागू करने का समय आ गया है।

निरीक्षण

शुरू करने से पहले पूल के स्वास्थ्य की जांच अवश्य करें:

zpool status -v

पूल और इसमें सभी डिस्क ऑनलाईन होनी चाहिए।

इसके अलावा, मैं मानता हूं कि पिछले चरण में सब कुछ निर्देशों के अनुसार किया गया था, और यह काम करता है, या आप खुद अच्छी तरह से समझते हैं कि आप क्या कर रहे हैं।

सुविधा

सबसे पहले, यह सुविधाजनक प्रबंधन का ध्यान रखने योग्य है यदि आपने शुरुआत से ही ऐसा नहीं किया।
इसकी आवश्यकता होगी:

SSH सर्वर: apt-get install openssh-server । यदि आप SSH को कॉन्फ़िगर करना नहीं जानते हैं, ~~लिनक्स पर NAS करना बहुत जल्दी है~~ आप इस लेख में इसके उपयोग की विशेषताओं को पढ़ सकते हैं, फिर किसी एक मैनुअल का उपयोग कर सकते हैं।
tmux या स्क्रीन : apt-get install tmux । SSH के माध्यम से लॉग इन करते समय सत्र को बचाने के लिए और कई विंडो का उपयोग करने के लिए।

SSH को स्थापित करने के बाद, आपको SSH को रूट के रूप में लॉग इन नहीं करने के लिए एक उपयोगकर्ता को जोड़ने की आवश्यकता है (इनपुट डिफ़ॉल्ट रूप से अक्षम है और आपको इसे सक्षम करने की आवश्यकता नहीं है):

 zfs create rpool/home/user adduser user cp -a /etc/skel/.[!.]* /home/user chown -R user:user /home/user

दूरस्थ प्रशासन के लिए, यह पर्याप्त न्यूनतम है।

फिर भी, जबकि आपको कीबोर्ड और मॉनिटर को कनेक्ट रखने की आवश्यकता है, जैसे कर्नेल को अपडेट करते समय आपको रीबूट करने की भी आवश्यकता होगी और यह सुनिश्चित करने के लिए कि सब कुछ लोड होने के तुरंत बाद काम करता है।

वर्चुअल KVM का उपयोग करने के लिए एक विकल्प है, जो IME प्रदान करता है। वहां एक कंसोल है, हालांकि मेरे मामले में इसे जावा एप्लेट के रूप में लागू किया गया है, जो बहुत सुविधाजनक नहीं है।

समायोजन

कैश की तैयारी

जहां तक आपको याद है, मेरे द्वारा वर्णित कॉन्फ़िगरेशन में L2ARC के तहत एक अलग SSD है, जिसका उपयोग अभी तक नहीं किया गया है, लेकिन "विकास के लिए" लिया गया है।

वैकल्पिक, लेकिन इस SSD को यादृच्छिक डेटा के साथ भरने की सलाह दी जाती है (सैमसंग EVO के मामले में, यह blkdiscard के बाद शून्य से भरा जाएगा, लेकिन सभी SSD पर वैसे भी नहीं):

 dd if=/dev/urandom of=/dev/disk/by-id/ata-Samsung_SSD_850_EVO bs=4M && blkdiscard /dev/disk/by-id/ata-Samsung_SSD_850_EVO

लॉग संपीड़न अक्षम करना

जेडएफएस पर, संपीड़न का उपयोग पहले से ही किया जाता है, क्योंकि गज़िप के माध्यम से लॉग संपीड़न स्पष्ट रूप से शानदार होगा।
बंद करें:

 for file in /etc/logrotate.d/* ; do if grep -Eq "(^|[^#y])compress" "$file" ; then sed -i -r "s/(^|[^#y])(compress)/\1#\2/" "$file" fi done

सिस्टम अपडेट

यहाँ सब कुछ सरल है:

 apt-get dist-upgrade --yes reboot

एक नए राज्य के लिए एक स्नैपशॉट बनाना

रीबूट करने के बाद, नई कार्यशील स्थिति को ठीक करने के लिए, आपको पहले स्नैपशॉट को फिर से लिखना होगा:

 zfs destroy rpool/ROOT/debian@install zfs snapshot rpool/ROOT/debian@install

फ़ाइल सिस्टम संगठन

SLOG के लिए विभाजन

सामान्य जेडएफएस प्रदर्शन को प्राप्त करने के लिए सबसे पहली बात यह है कि एसएलओजी को एसएसडी पर रखा जाए।
आपको याद दिलाता हूं कि उपयोग किए गए कॉन्फ़िगरेशन में SLOG दो SSDs पर डुप्लिकेट है: इसके लिए, LUKS-XTS पर डिवाइस प्रत्येक SSD के चौथे खंड के शीर्ष पर बनाए जाएंगे:

 dd if=/dev/urandom of=/etc/keys/slog.key bs=1 count=4096 cryptsetup --verbose --cipher "aes-xts-plain64:sha512" --key-size 512 --key-file /etc/keys/slog.key luksFormat /dev/disk/by-id/ata-Samsung_SSD_850_PRO-part4 cryptsetup --verbose --cipher "aes-xts-plain64:sha512" --key-size 512 --key-file /etc/keys/slog.key luksFormat /dev/disk/by-id/ata-Micron_1100-part4 echo "slog0_crypt1 /dev/disk/by-id/ata-Samsung_SSD_850_PRO-part4 /etc/keys/slog.key luks,discard" >> /etc/crypttab echo "slog0_crypt2 /dev/disk/by-id/ata-Micron_1100-part4 /etc/keys/slog.key luks,discard" >> /etc/crypttab

L2ARC और स्वैप के लिए विभाजन

पहले आपको स्वैप और l2arc के तहत विभाजन बनाने की आवश्यकता है:

 sgdisk -n1:0:48G -t1:8200 -c1:part_swap -n2::196G -t2:8200 -c2:part_l2arc /dev/disk/by-id/ata-Samsung_SSD_850_EVO

स्वैप विभाजन और L2ARC को एक यादृच्छिक कुंजी पर एन्क्रिप्ट किया जाएगा रिबूट करने के बाद, उन्हें आवश्यकता नहीं है और उन्हें फिर से बनाना हमेशा संभव है।
इसलिए, क्रिप्टैब में, सादे मोड में विभाजन को एन्क्रिप्ट / डिक्रिप्ट करने के लिए एक पंक्ति लिखी गई है:

 echo swap_crypt /dev/disk/by-id/ata-Samsung_SSD_850_EVO-part1 /dev/urandom swap,cipher=aes-xts-plain64:sha512,size=512 >> /etc/crypttab echo l2arc_crypt /dev/disk/by-id/ata-Samsung_SSD_850_EVO-part2 /dev/urandom cipher=aes-xts-plain64:sha512,size=512 >> /etc/crypttab

फिर आपको डेमॉन को फिर से शुरू करने और स्वैप को सक्षम करने की आवश्यकता है:

 echo 'vm.swappiness = 10' >> /etc/sysctl.conf sysctl vm.swappiness=10 systemctl daemon-reload systemctl start systemd-cryptsetup@swap_crypt.service echo /dev/mapper/swap_crypt none swap sw,discard 0 0 >> /etc/fstab swapon -av

क्योंकि एसएसडी पर swapiness का सक्रिय रूप से उपयोग नहीं किया जाता है, swapiness पैरामीटर, जो डिफ़ॉल्ट रूप से 60 है, को 10 पर सेट किया जाना चाहिए।

L2ARC का अभी इस स्तर पर उपयोग नहीं किया गया है, लेकिन इसके लिए अनुभाग पहले से ही तैयार है:

 $ ls /dev/mapper/ control l2arc_crypt root_crypt1 root_crypt2 slog0_crypt1 slog0_crypt2 swap_crypt tank0_crypt0 tank0_crypt1 tank0_crypt2 tank0_crypt3

ताल टैंक

tank0 पूल के निर्माण का वर्णन किया जाएगा, tank1 को सादृश्य द्वारा बनाया गया है।

मैन्युअल रूप से समान विभाजन नहीं बनाने और त्रुटियों से बचने के लिए, मैंने पूलों के लिए एन्क्रिप्टेड विभाजन बनाने के लिए एक स्क्रिप्ट लिखी है:

create_crypt_pool.sh

 #!/bin/bash KEY_SIZE=512 POOL_NAME="$1" KEY_FILE="/etc/keys/${POOL_NAME}.key" LUKS_PARAMS="--verbose --cipher aes-xts-plain64:sha${KEY_SIZE} --key-size $KEY_SIZE" [ -z "$1" ] && { echo "Error: pool name empty!" ; exit 1; } shift [ -z "$*" ] && { echo "Error: devices list empty!" ; exit 1; } echo "Devices: $*" read -p "Is it ok? " a [ "$a" != "y" ] && { echo "Bye"; exit 1; } dd if=/dev/urandom of=$KEY_FILE bs=1 count=4096 phrase="?" read -s -p "Password: " phrase echo read -s -p "Repeat password: " phrase1 echo [ "$phrase" != "$phrase1" ] && { echo "Error: passwords is not equal!" ; exit 1; } echo "### $POOL_NAME" >> /etc/crypttab index=0 for i in $*; do echo "$phrase"|cryptsetup $LUKS_PARAMS luksFormat "$i" || exit 1 echo "$phrase"|cryptsetup luksAddKey "$i" $KEY_FILE || exit 1 dev_name="${POOL_NAME}_crypt${index}" echo "${dev_name} $i $KEY_FILE luks" >> /etc/crypttab cryptsetup luksOpen --key-file $KEY_FILE "$i" "$dev_name" || exit 1 index=$((index + 1)) done echo "###" >> /etc/crypttab phrase="=====================================================" phrase1="=================================================" unset phrase unset phrase1

अब, इस स्क्रिप्ट का उपयोग करते हुए, आपको डेटा संग्रहीत करने के लिए एक पूल बनाने की आवश्यकता है:

 ./create_crypt_pool.sh zpool create -o ashift=12 -O atime=off -O compression=lz4 -O normalization=formD tank0 raidz1 /dev/disk/by-id/dm-name-tank0_crypt*

ashift=12 पैरामीटर पर नोट्स के लिए, मेरे पिछले लेख और उन पर टिप्पणी देखें।

पूल बनाने के बाद, मैंने SSD पर अपना लॉग आउट किया:

 zpool add tank0 log mirror /dev/disk/by-id/dm-name-slog0_crypt1 /dev/disk/by-id/dm-name-slog0_crypt2

भविष्य में, OMV स्थापित और कॉन्फ़िगर के साथ, GUI के माध्यम से पूल बनाना संभव होगा:

पूल में पूल आयात और ऑटो-माउंट वॉल्यूम को सक्षम करना

ऑटो-माउंट पूल को सक्षम करने के लिए गारंटी देने के लिए, निम्नलिखित कमांड चलाएं:

 rm /etc/zfs/zpool.cache systemctl enable zfs-import-scan.service systemctl enable zfs-mount.service systemctl enable zfs-import-cache.service

इस स्तर पर, डिस्क सबसिस्टम का कॉन्फ़िगरेशन पूरा हो गया है।

ऑपरेटिंग सिस्टम

एनएएस के लिए किसी प्रकार की नींव प्राप्त करने के लिए ओएमवी को स्थापित करने और कॉन्फ़िगर करने के लिए पहला कदम है।

OMV स्थापित करें

OMV को एक डिबेट पैकेज के रूप में स्थापित किया जाएगा। ऐसा करने के लिए, आधिकारिक निर्देशों का उपयोग करना संभव है।

add_repo.sh स्क्रिप्ट OMV Arrakis रिपॉजिटरी को /etc/apt/ sources.list.d add_repo.sh जोड़ता है ताकि बैच सिस्टम रिपॉजिटरी को देखता है।

add_repo.sh

 cat <<EOF >> /etc/apt/sources.list.d/openmediavault.list deb http://packages.openmediavault.org/public arrakis main # deb http://downloads.sourceforge.net/project/openmediavault/packages arrakis main ## Uncomment the following line to add software from the proposed repository. # deb http://packages.openmediavault.org/public arrakis-proposed main # deb http://downloads.sourceforge.net/project/openmediavault/packages arrakis-proposed main ## This software is not part of OpenMediaVault, but is offered by third-party ## developers as a service to OpenMediaVault users. deb http://packages.openmediavault.org/public arrakis partner # deb http://downloads.sourceforge.net/project/openmediavault/packages arrakis partner EOF

कृपया ध्यान दें कि मूल की तुलना में, भागीदार भंडार शामिल है।

स्थापित करने और आरंभ करने के लिए, आपको नीचे दिए गए आदेश चलाने होंगे।

ओएमवी स्थापित करने के लिए आदेश।

 ./add_repo.sh export LANG=C export DEBIAN_FRONTEND=noninteractive export APT_LISTCHANGES_FRONTEND=none apt-get update apt-get --allow-unauthenticated install openmediavault-keyring apt-get update apt-get --yes --auto-remove --show-upgraded \ --allow-downgrades --allow-change-held-packages \ --no-install-recommends \ --option Dpkg::Options::="--force-confdef" \ --option DPkg::Options::="--force-confold" \ install postfix openmediavault # Initialize the system and database. omv-initsystem

OMV स्थापित। यह अपने कर्नेल का उपयोग करता है, और स्थापना के बाद रिबूट की आवश्यकता हो सकती है।

रिबूट करने के बाद, OpenMediaVault इंटरफ़ेस पोर्ट 80 पर उपलब्ध होगा (IP पते द्वारा NAS पर ब्राउज़र पर जाएं):

डिफ़ॉल्ट उपयोगकर्ता नाम / पासवर्ड admin/openmediavault ।

OMV कॉन्फ़िगर करें

इसके अलावा, अधिकांश विन्यास WEB-GUI के माध्यम से जाएगा।

एक सुरक्षित कनेक्शन स्थापित करें

अब आपको भविष्य में HTTPS पर काम करने के लिए WEB एडमिनिस्ट्रेटर का पासवर्ड बदलने और NAS के लिए एक सर्टिफिकेट तैयार करने की आवश्यकता है।

पासवर्ड टैब पर बदल दिया गया है "सिस्टम-> सामान्य सेटिंग्स-> वेब प्रशासक पासवर्ड" ।
टैब पर एक प्रमाण पत्र उत्पन्न करने के लिए "सिस्टम-> प्रमाण पत्र-> एसएसएल", "ऐड-> क्रिएट" चुनें ।

बनाया गया प्रमाण पत्र उसी टैब पर दिखाई देगा:

प्रमाण पत्र बनाने के बाद, "सिस्टम-> सामान्य सेटिंग्स" टैब पर, "सक्षम एसएसएल / टीएलएस" चेकबॉक्स को सक्षम करें ।

कॉन्फ़िगरेशन पूर्ण होने से पहले एक प्रमाण पत्र की आवश्यकता होगी। अंतिम संस्करण OMV से संपर्क करने के लिए एक हस्ताक्षरित प्रमाण पत्र का उपयोग करेगा।

अब आपको 443 को पोर्ट करने के लिए OMV में लॉग इन करना होगा, या ब्राउजर में आईपी में https:// प्रीफिक्स को असाइन करना होगा।

यदि आप टैब "सिस्टम-> सामान्य सेटिंग्स" पर लॉग इन करने में कामयाब रहे, तो आपको "फोर्स एसएसएल / टीएलएस" चेकबॉक्स को सक्षम करना होगा।

पोर्ट 80 और 443 को 10080 और 10443 में बदलें ।
और निम्न पते पर लॉग इन करने का प्रयास करें: https://IP_NAS:10443 ।
पोर्ट बदलना महत्वपूर्ण है क्योंकि पोर्ट 80 और 443 नगनेक्स-रिवर्स-प्रॉक्सी के साथ डॉक कंटेनर का उपयोग करेंगे।

प्राथमिक सेटिंग्स

न्यूनतम सेटिंग्स जो पहले की जानी चाहिए:

टैब पर "सिस्टम-> दिनांक और समय" समय क्षेत्र मान की जाँच करें और एनटीपी सर्वर सेट करें।
टैब पर "सिस्टम-> निगरानी" प्रदर्शन आंकड़ों के संग्रह को सक्षम करता है।
टैब "सिस्टम-> एनर्जी मैनेजमेंट" पर यह संभवत: "मॉनिटरिंग" को बंद करने के लायक है ताकि ओएमवी प्रशंसकों को नियंत्रित करने की कोशिश न करे।

नेटवर्क

यदि दूसरा NAS नेटवर्क इंटरफ़ेस अभी तक कनेक्ट नहीं हुआ है, तो इसे राउटर से कनेक्ट करें।

तो:

"सिस्टम-> नेटवर्क" टैब पर, होस्ट नाम को "एनएएस" (या जो भी आपको पसंद है) सेट करें।
नीचे दिए गए चित्र में दिखाए गए इंटरफेस के लिए बॉन्डिंग सेट करें: "सिस्टम-> नेटवर्क-> इंटरफेस- > ऐड-> बॉन्ड" ।
टैब पर आवश्यक फ़ायरवॉल नियम जोड़ें "सिस्टम-> नेटवर्क-> फ़ायरवॉल" । सबसे पहले, SSH के लिए पोर्ट्स 10443, 10080, 443, 80, 22 तक पहुंच और ICMP प्राप्त करने / भेजने की अनुमति पर्याप्त है।

नतीजतन, संबंध में इंटरफेस दिखाई देना चाहिए, जो राउटर को एक इंटरफ़ेस के रूप में देखेगा और इसे एक आईपी पता निर्दिष्ट करेगा:

यदि वांछित है, तो इसके अतिरिक्त एसएसबी को वेब GUI से कॉन्फ़िगर करना संभव है:

रिपोजिटरी और मॉड्यूल

टैब पर "सिस्टम-> अपडेट प्रबंधन-> सेटिंग" "समुदाय द्वारा समर्थित अपडेट " चालू करें।

सबसे पहले, OMV एक्सट्रा रिपॉजिटरी जोड़ें।
यह बस प्लगइन या पैकेज को स्थापित करके किया जा सकता है, जैसा कि मंच पर संकेत दिया गया है।

"सिस्टम-> प्लगइन्स" पृष्ठ पर आपको "ओपनमीडियामूल्ट-ऑस्वेक्स्ट्रासॉर्ग" प्लगइन खोजने और इसे स्थापित करने की आवश्यकता है।

परिणामस्वरूप, सिस्टम मेनू में "ओएमवी-एक्स्ट्रा" आइकन दिखाई देगा (इसे स्क्रीनशॉट में देखा जा सकता है)।

वहां जाएं और निम्नलिखित रिपॉजिटरी को सक्षम करें:

OMV-Extras.org। एक स्थिर भंडार जिसमें कई प्लगइन्स होते हैं।
OMV-Extras.org टेस्टिंग। इस रिपॉजिटरी के कुछ प्लगइन्स स्थिर रिपॉजिटरी में नहीं हैं।
डॉकर सीई। दरअसल, डॉकर।

टैब पर "सिस्टम-> OMV एक्सट्रा-> कर्नेल" आप अपनी जरूरत का कर्नेल चुन सकते हैं, जिसमें Proxmox से कर्नेल शामिल है (मैंने इसे स्वयं इंस्टॉल नहीं किया है, क्योंकि मुझे इसकी आवश्यकता अभी तक नहीं है, इसलिए मैं इसकी अनुशंसा नहीं करता हूं:

आवश्यक प्लगइन्स इंस्टॉल करें ( इटैलिक में बोल्ड बिल्कुल आवश्यक - वैकल्पिक, जिसे मैंने इंस्टॉल नहीं किया है):

प्लगइन्स की सूची।

openmediavault-apttool। बैच सिस्टम के साथ काम करने के लिए न्यूनतम जीयूआई। "सेवाएँ-> Apttool" जोड़ता है।
openmediavault-anacron। एक अतुल्यकालिक अनुसूचक के साथ जीयूआई से काम करने की क्षमता जोड़ता है। "सिस्टम-> एनाक्रॉन" जोड़ता है।
openmediavault-बैकअप। भंडारण में बैकअप प्रणाली प्रदान करता है। एक पेज जोड़ता है "सिस्टम-> बैकअप" ।
openmediavault-diskstats। डिस्क प्रदर्शन पर आंकड़े एकत्र करने की आवश्यकता है।
openmediavault-dnsmasq आपको NAS पर DNS सर्वर और DHCP को बढ़ाने की अनुमति देता है। क्योंकि मैं एक राउटर पर ऐसा करता हूं, मुझे इसकी आवश्यकता नहीं है।
openmediavault-docker-gui । डॉकर कंटेनर प्रबंधन इंटरफ़ेस। "सेवा-> डॉकटर" जोड़ता है।
openmediavault-ldap LDAP के माध्यम से प्रमाणीकरण के लिए समर्थन। "अधिकार प्रबंधन -> निर्देशिका सेवा" जोड़ता है।
openmediavault-letencrypt । GUI से एनक्रिप्ट करने के लिए समर्थन। इसकी आवश्यकता नहीं है, क्योंकि यह नग्नेक्स-रिवर्स-प्रॉक्सी कंटेनर में एम्बेडिंग का उपयोग करता है।
openmediavault-luksenc एन्क्रिप्शन । LUKS एन्क्रिप्शन समर्थन। यह आवश्यक है कि एन्क्रिप्टेड डिस्क ओएमवी इंटरफेस में दिखाई दे। "संग्रहण-> एन्क्रिप्शन" जोड़ता है।
openmediavault-nut । यूपीएस का समर्थन। " सेवा- > यूपीएस" जोड़ता है।
openmediavault-omvextrasorg ओएमवी एक्सट्रा पहले से ही स्थापित होना चाहिए।
openmediavault-resetperms। आपको अनुमतियों को रीसेट करने और साझा निर्देशिकाओं पर पहुंच नियंत्रण सूची रीसेट करने देता है। "प्रवेश नियंत्रण -> सामान्य निर्देशिकाएँ -> रीसेट अनुमतियाँ" जोड़ता है।
openmediavault मार्ग। रूटिंग प्रबंधन के लिए उपयोगी प्लगइन। "सिस्टम-> नेटवर्क-> स्टेटिक रूट" जोड़ता है।
openmediavault-सिमलिंक। प्रतीकात्मक लिंक बनाने की क्षमता प्रदान करता है। पृष्ठ को "सेवा-> प्रतीक" जोड़ता है।
openmediavault-unionfilesystems। UnionFS समर्थन करते हैं। यह भविष्य में काम आ सकता है, हालांकि डॉकटर एक बैकेंड के रूप में ZFS का उपयोग करता है। "संग्रहण-> संघ फाइलसिस्टम" जोड़ता है।
openmediavault-virtualbox । यह GUI में वर्चुअल मशीन प्रबंधन क्षमताओं को एम्बेड करने के लिए उपयोग किया जा सकता है।
openmediavault-zfs । प्लगइन OpenMediaVault में ZFS समर्थन जोड़ता है। स्थापना के बाद, "संग्रहण-> ZFS" पृष्ठ दिखाई देगा।

डिस्क

सभी डिस्क जो सिस्टम में हैं, उन्हें ओएमवी दिखाई देना चाहिए। "संग्रहण-> डिस्क" टैब को देखकर यह सुनिश्चित करें। यदि सभी डिस्क दिखाई नहीं दे रहे हैं, तो स्कैन चलाएं।

वहां, सभी HDD पर, लेखन कैशिंग सक्षम होना चाहिए (सूची से डिस्क पर क्लिक करके और "संपादित करें" बटन पर क्लिक करके)।

सुनिश्चित करें कि सभी एन्क्रिप्टेड अनुभाग "संग्रहण-> एन्क्रिप्शन" टैब पर दिखाई दे रहे हैं:

अब यह SMART कॉन्फ़िगर करने का समय है, जो बढ़ती विश्वसनीयता के साधन के रूप में इंगित किया गया है:

"संग्रहण-> स्मार्ट-> सेटिंग्स" टैब पर जाएं । स्मार्ट चालू करें।
उसी जगह में, डिस्क के तापमान स्तर (महत्वपूर्ण, आमतौर पर 60 सी, और डिस्क का इष्टतम तापमान शासन 15-45 सी) के मूल्यों का चयन करें।
"संग्रहण-> स्मार्ट-> डिवाइस" टैब पर जाएं । प्रत्येक ड्राइव के लिए निगरानी चालू करें।
"संग्रहण-> स्मार्ट-> अनुसूचित परीक्षण" टैब पर जाएं । प्रत्येक डिस्क के लिए दिन में एक बार लघु आत्म-परीक्षण और महीने में एक बार एक लंबा आत्म-परीक्षण जोड़ें। इसके अलावा, ताकि स्व-परीक्षण अवधि ओवरलैप न हो।

इस पर, डिस्क कॉन्फ़िगरेशन को पूर्ण माना जा सकता है।

फ़ाइल सिस्टम और साझा निर्देशिका

आपको पूर्वनिर्धारित निर्देशिकाओं के लिए फ़ाइल सिस्टम बनाना होगा।
यह कंसोल से या OMV WEB इंटरफेस ( स्टोरेज-> ZFS-> सेलेक्ट टैंक टैंक0-> ऐड बटन -> फाइलसिस्टम ) से किया जा सकता है।

FS बनाने के लिए आदेश देता है।

 zfs create -o utf8only=on -o normalization=formD -p tank0/user_data/books zfs create -o utf8only=on -o normalization=formD -p tank0/user_data/music zfs create -o utf8only=on -o normalization=formD -p tank0/user_data/pictures zfs create -o utf8only=on -o normalization=formD -p tank0/user_data/downloads zfs create -o compression=off -o utf8only=on -o normalization=formD -p tank0/user_data/videos

परिणाम निम्न निर्देशिका संरचना होना चाहिए:

उसके बाद, "एफएस एक्सेस मैनेजिंग राइट्स-> जनरल निर्देशिकाएँ-> ऐड" पेज पर साझा निर्देशिकाओं के रूप में बनाए गए एफएस जोड़ें ।
कृपया ध्यान दें कि "डिवाइस" पैरामीटर ZFS में बनाई गई फ़ाइल सिस्टम के पथ के बराबर है, और सभी निर्देशिकाओं के लिए "पथ" पैरामीटर "/" है।

बैकअप

बैकअप दो उपकरणों द्वारा किया जाता है:

OMV बैकअप प्लगइन । सिस्टम बैकअप के लिए ओएमवी प्लगइन।
zfs- ऑटो-स्नैपशॉट । एक स्क्रिप्ट स्वचालित रूप से एक शेड्यूल पर ZFS स्नैपशॉट बनाने और पुराने को हटाने के लिए।

यदि आप प्लगइन का उपयोग करते हैं, तो आपको सबसे अधिक त्रुटि मिलती है:

 lsblk: /dev/block/0:22: not a block device

इसे ठीक करने के लिए, जैसा कि इस "बहुत ही गैर-मानक कॉन्फ़िगरेशन" में ओएमवी डेवलपर्स द्वारा नोट किया गया है , यह प्लगइन को मना करना और zfs send/receive के रूप में ZFS टूल का उपयोग करना संभव होगा।
या, भौतिक डिवाइस के रूप में पैरामीटर "रूट डिवाइस" को स्पष्ट रूप से निर्दिष्ट करें, जहां से डाउनलोड किया जाता है।
मेरे लिए प्लगइन का उपयोग करना और इंटरफ़ेस से ओएस का बैकअप लेने के लिए यह अधिक सुविधाजनक है, इसके बजाय अपने स्वयं के कुछ को zfs भेजने के बजाय, इसलिए मैं दूसरा विकल्प पसंद करता हूं।

बैकअप कार्य करने के लिए, पहले tank0/apps/backup फाइल सिस्टम को ZFS के माध्यम से बनाएं, फिर "सिस्टम-> बैकअप" मेनू में "सार्वजनिक फ़ोल्डर" पैरामीटर फ़ील्ड में "+" पर क्लिक करें और बनाए गए डिवाइस को लक्ष्य और "पथ" फ़ील्ड में जोड़ें। "/" पर सेट करें।

Zfs-auto-snapshot के साथ भी समस्याएं हैं। यदि कॉन्फ़िगर नहीं किया गया है, तो वह हर घंटे, हर दिन, हर हफ्ते, हर महीने एक साल के लिए तस्वीरें लेगा।
परिणाम यह है कि स्क्रीनशॉट में क्या है:

यदि आप पहले ही इस पार आ चुके हैं, तो स्वचालित स्नैपशॉट निकालने के लिए निम्न कोड चलाएँ:

 zfs list -t snapshot -o name -S creation | grep "@zfs-auto-snap" | tail -n +1500 | xargs -n 1 zfs destroy -vr

फिर क्रोन में चलाने के लिए zfs-auto-snapshot कॉन्फ़िगर करें।
आरंभ करने के लिए, यदि आपको हर घंटे चित्र लेने की आवश्यकता नहीं है, तो बस /etc/cron.hourly/zfs-auto-snapshot हटाएं।

ईमेल सूचनाएं

ई-मेल द्वारा अधिसूचना को विश्वसनीयता प्राप्त करने के साधनों में से एक के रूप में इंगित किया गया है।
इसलिए, अब आपको ईमेल अधिसूचना को कॉन्फ़िगर करने की आवश्यकता है।
ऐसा करने के लिए, सार्वजनिक सर्वरों में से किसी एक पर एक बॉक्स को पंजीकृत करें (यदि आप वास्तव में एसएमटीपी सर्वर को कॉन्फ़िगर करते हैं, तो आपके पास इसके कारण हैं)।

फिर आपको "सिस्टम-> अधिसूचना" पृष्ठ पर जाने और दर्ज करने की आवश्यकता है:

SMTP सर्वर पता।
SMTP सर्वर पोर्ट।
प्रयोक्ता नाम।
प्रेषक पता (आमतौर पर पते का पहला घटक नाम से मेल खाता है)।
उपयोगकर्ता का पासवर्ड
"प्राप्तकर्ता" फ़ील्ड में, आपका सामान्य पता जिस पर NAS सूचनाएं भेजेगा।

एसएसएल / टीएलएस को सक्षम करना अत्यधिक उचित है।

स्क्रीनशॉट में यैंडेक्स के लिए एक उदाहरण सेटअप दिखाया गया है:

NAS के बाहर नेटवर्क सेटअप

आईपी एड्रेस

मैं एक सफेद स्थिर आईपी पते का उपयोग करता हूं, जिसकी लागत प्रति माह 100 रूबल है। यदि भुगतान करने की कोई इच्छा नहीं है और आपका पता गतिशील है, लेकिन NAT के लिए नहीं, तो चयनित सेवा के एपीआई के माध्यम से बाहरी DNS रिकॉर्ड को समायोजित करना संभव है।
फिर भी, यह ध्यान में रखना चाहिए कि एक गैर-एनएटी पता अचानक एनएटी पता बन सकता है: एक नियम के रूप में, प्रदाता कोई गारंटी नहीं देते हैं।

रूटर

राउटर के रूप में, मेरे पास मिकरोटिक राउटरबोर्ड है , जो नीचे दी गई तस्वीर में एक के समान है।

राउटर पर तीन चीजें आवश्यक हैं:

NAS के लिए स्थैतिक पते कॉन्फ़िगर करें। मेरे मामले में, पते डीएचसीपी के माध्यम से जारी किए जाते हैं, और मुझे यह सुनिश्चित करने की आवश्यकता है कि एक विशिष्ट मैक पते वाले एडेप्टर को हमेशा एक ही आईपी पता मिलता है। राउटरओएस में, यह "आईपी-> डीएचसीपी सर्वर" टैब पर "मेक स्टैटिक" बटन के साथ किया जाता है।
DNS सर्वर को कॉन्फ़िगर करें ताकि "nas" नाम के साथ-साथ ".nas" और ".NAS.cloudns.cc" में समाप्त होने वाले नाम (जहां "NAS" ClouDNS या इसी तरह की सेवा पर ज़ोन है) यह IP सिस्टम देता है। RouterOS में यह कहाँ करना है, नीचे स्क्रीनशॉट में दिखाया गया है। मेरे मामले में, यह एक नियमित अभिव्यक्ति के साथ नाम से मेल खाते द्वारा कार्यान्वित किया जाता है: " ^.*\.nas$|^nas$|^.*\.NAS.cloudns.cc$ "।
पोर्ट फ़ॉरवर्डिंग कॉन्फ़िगर करें। राउटरओएस में, यह "आईपी-> फ़ायरवॉल" टैब पर किया जाता है, मैं इस पर आगे नहीं रहूंगा।

ClouDNS

CLUDNS सरल है। एक खाता बनाएँ, पुष्टि करें। आपके साथ एनएस रिकॉर्ड पहले ही पंजीकृत हो जाएगा। अगला, न्यूनतम सेटअप आवश्यक है।

सबसे पहले, आपको आवश्यक ज़ोन बनाने की आवश्यकता है (एनएएस नाम के साथ ज़ोन स्क्रीनशॉट में लाल रंग में हाइलाइट किया गया है जो आपको एक अलग नाम के साथ बनाना चाहिए, निश्चित रूप से)।

दूसरे, इस क्षेत्र में आपको निम्नलिखित ए-रिकॉर्ड दर्ज करने चाहिए:

nas , www , omv , control और एक खाली नाम । OMV इंटरफ़ेस का उपयोग करने के लिए।
ldap PhpLdapAdmin इंटरफ़ेस
एस पी एस । उपयोगकर्ता पासवर्ड बदलने के लिए इंटरफ़ेस।
परीक्षण । टेस्ट सर्वर।

सेवाओं को जोड़ते ही शेष डोमेन नाम जुड़ जाएंगे।
ज़ोन पर क्लिक करें, फिर "नया रिकॉर्ड जोड़ें" , ए-प्रकार चुनें, ज़ोन का नाम और राउटर का आईपी पता दर्ज करें जिसके पीछे एनएएस है।

दूसरे, आपको एपीआई का उपयोग करने की आवश्यकता है। ClouDNS में इसका भुगतान किया जाता है, इसलिए आपको इसके लिए पहले भुगतान करना होगा। अन्य सेवाओं में, यह मुफ़्त है। यदि आप जानते हैं कि कौन सा बेहतर है, और यह लेक्सिकन द्वारा समर्थित है, तो कृपया टिप्पणियों में लिखें।

एपीआई तक पहुँच प्राप्त करने के बाद, आपको वहाँ एक नया एपीआई उपयोगकर्ता जोड़ना होगा।

"IP address" IP : , API. , , API, auth-id auth-password . Lexicon, .

ClouDNS .

Docker

openmediavault-docker-gui, docker-ce .

, docker-compose , :

 apt-get install docker-compose

 zfs create -p /tank0/docker/services

, /var/lib/docker . ( , SSD), , , .

..,
. .

, .
, GUI , : , .. , .

/var/lib :

 service docker stop zfs create -o com.sun:auto-snapshot=false -p /tank0/docker/lib rm -rf /var/lib/docker ln -s /tank0/docker/lib /var/lib/docker service docker start

 $ ls -l /var/lib/docker lrwxrwxrwx 1 root root 17 Apr 7 12:35 /var/lib/docker -> /tank0/docker/lib

 docker network create docker0

Docker .

nginx-reverse-proxy

Docker , .

, .

: nginx-proxy letsencrypt-dns .

, OMV 10080 10443, 80 443.

/tank0/docker/services/nginx-proxy/docker-compose.yml

 version: '2' networks: docker0: external: name: docker0 services: nginx-proxy: networks: - docker0 restart: always image: jwilder/nginx-proxy ports: - "80:80" - "443:443" volumes: - ./certs:/etc/nginx/certs:ro - ./vhost.d:/etc/nginx/vhost.d - ./html:/usr/share/nginx/html - /var/run/docker.sock:/tmp/docker.sock:ro - ./local-config:/etc/nginx/conf.d - ./nginx.tmpl:/app/nginx.tmpl labels: - "com.github.jrcs.letsencrypt_nginx_proxy_companion.nginx_proxy=true" letsencrypt-dns: image: adferrand/letsencrypt-dns volumes: - ./certs/letsencrypt:/etc/letsencrypt environment: - "LETSENCRYPT_USER_MAIL=MAIL@MAIL.COM" - "LEXICON_PROVIDER=cloudns" - "LEXICON_OPTIONS=--delegated NAS.cloudns.cc" - "LEXICON_PROVIDER_OPTIONS=--auth-id=CLOUDNS_ID --auth-password=CLOUDNS_PASSWORD"

nginx-reverse-proxy — c .
letsencrypt-dns — ACME Let's Encrypt.

nginx-reverse-proxy jwilder/nginx-proxy .

docker0 — , , docker-compose.
nginx-proxy — , . docker0. , 80 443 ports (, , docker0, ).
restart: always , .

certs /etc/nginx/certs — , , Let's Encrypt. ACME .
./vhost.d:/etc/nginx/vhost.d — . .
./html:/usr/share/nginx/html — . .
/var/run/docker.sock , /tmp/docker.sock — Docker . docker-gen .
./local-config , /etc/nginx/conf.d — nginx. , .
./nginx.tmpl , /app/nginx.tmpl — nginx, docker-gen .

letsencrypt-dns adferrand/letsencrypt-dns . ACME Lexicon, DNS .

certs/letsencrypt /etc/letsencrypt .

, :

LETSENCRYPT_USER_MAIL=MAIL@MAIL.COM — Let's Encrypt. , .
LEXICON_PROVIDER=cloudns — Lexicon. — cloudns .
LEXICON_PROVIDER_OPTIONS=--auth-id=CLOUDNS_ID --auth-password=CLOUDNS_PASSWORD --delegated=NAS.cloudns.cc — CLOUDNS_ID ClouDNS . CLOUDNS_PASSWORD — , API. NAS.cloudns.cc, NAS — DNS . cloudns , (cloudns.cc), ClouDNS API .

: .
, , , , Let's encrypt:

 $ ls ./certs/letsencrypt/ accounts archive csr domains.conf keys live renewal renewal-hooks

, , .

/tank0/docker/services/nginx-proxy/nginx.tmpl

 {{ $CurrentContainer := where $ "ID" .Docker.CurrentContainerID | first }} {{ define "upstream" }} {{ if .Address }} {{/* If we got the containers from swarm and this container's port is published to host, use host IP:PORT */}} {{ if and .Container.Node.ID .Address.HostPort }} # {{ .Container.Node.Name }}/{{ .Container.Name }} server {{ .Container.Node.Address.IP }}:{{ .Address.HostPort }}; {{/* If there is no swarm node or the port is not published on host, use container's IP:PORT */}} {{ else if .Network }} # {{ .Container.Name }} server {{ .Network.IP }}:{{ .Address.Port }}; {{ end }} {{ else if .Network }} # {{ .Container.Name }} {{ if .Network.IP }} server {{ .Network.IP }} down; {{ else }} server 127.0.0.1 down; {{ end }} {{ end }} {{ end }} # If we receive X-Forwarded-Proto, pass it through; otherwise, pass along the # scheme used to connect to this server map $http_x_forwarded_proto $proxy_x_forwarded_proto { default $http_x_forwarded_proto; '' $scheme; } # If we receive X-Forwarded-Port, pass it through; otherwise, pass along the # server port the client connected to map $http_x_forwarded_port $proxy_x_forwarded_port { default $http_x_forwarded_port; '' $server_port; } # If we receive Upgrade, set Connection to "upgrade"; otherwise, delete any # Connection header that may have been passed to this server map $http_upgrade $proxy_connection { default upgrade; '' close; } # Apply fix for very long server names server_names_hash_bucket_size 128; # Default dhparam {{ if (exists "/etc/nginx/dhparam/dhparam.pem") }} ssl_dhparam /etc/nginx/dhparam/dhparam.pem; {{ end }} # Set appropriate X-Forwarded-Ssl header map $scheme $proxy_x_forwarded_ssl { default off; https on; } gzip_types text/plain text/css application/javascript application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript; log_format vhost '$host $remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent"'; access_log off; {{ if $.Env.RESOLVERS }} resolver {{ $.Env.RESOLVERS }}; {{ end }} {{ if (exists "/etc/nginx/proxy.conf") }} include /etc/nginx/proxy.conf; {{ else }} # HTTP 1.1 support proxy_http_version 1.1; proxy_buffering off; proxy_set_header Host $http_host; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $proxy_connection; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto; proxy_set_header X-Forwarded-Ssl $proxy_x_forwarded_ssl; proxy_set_header X-Forwarded-Port $proxy_x_forwarded_port; # Mitigate httpoxy attack (see README for details) proxy_set_header Proxy ""; {{ end }} {{ $enable_ipv6 := eq (or ($.Env.ENABLE_IPV6) "") "true" }} server { server_name _; # This is just an invalid value which will never trigger on a real hostname. listen 80; {{ if $enable_ipv6 }} listen [::]:80; {{ end }} access_log /var/log/nginx/access.log vhost; return 503; } {{ if (and (exists "/etc/nginx/certs/default.crt") (exists "/etc/nginx/certs/default.key")) }} server { server_name _; # This is just an invalid value which will never trigger on a real hostname. listen 443 ssl http2; {{ if $enable_ipv6 }} listen [::]:443 ssl http2; {{ end }} access_log /var/log/nginx/access.log vhost; return 503; ssl_session_tickets off; ssl_certificate /etc/nginx/certs/default.crt; ssl_certificate_key /etc/nginx/certs/default.key; } {{ end }} {{ range $host, $containers := groupByMulti $ "Env.VIRTUAL_HOST" "," }} {{ $host := trim $host }} {{ $is_regexp := hasPrefix "~" $host }} {{ $upstream_name := when $is_regexp (sha1 $host) $host }} # {{ $host }} upstream {{ $upstream_name }} { {{ range $container := $containers }} {{ $addrLen := len $container.Addresses }} {{ range $knownNetwork := $CurrentContainer.Networks }} {{ range $containerNetwork := $container.Networks }} {{ if (and (ne $containerNetwork.Name "ingress") (or (eq $knownNetwork.Name $containerNetwork.Name) (eq $knownNetwork.Name "host"))) }} ## Can be connected with "{{ $containerNetwork.Name }}" network {{/* If only 1 port exposed, use that */}} {{ if eq $addrLen 1 }} {{ $address := index $container.Addresses 0 }} {{ template "upstream" (dict "Container" $container "Address" $address "Network" $containerNetwork) }} {{/* If more than one port exposed, use the one matching VIRTUAL_PORT env var, falling back to standard web port 80 */}} {{ else }} {{ $port := coalesce $container.Env.VIRTUAL_PORT "80" }} {{ $address := where $container.Addresses "Port" $port | first }} {{ template "upstream" (dict "Container" $container "Address" $address "Network" $containerNetwork) }} {{ end }} {{ else }} # Cannot connect to network of this container server 127.0.0.1 down; {{ end }} {{ end }} {{ end }} {{ end }} } {{ $default_host := or ($.Env.DEFAULT_HOST) "" }} {{ $default_server := index (dict $host "" $default_host "default_server") $host }} {{/* Get the VIRTUAL_PROTO defined by containers w/ the same vhost, falling back to "http" */}} {{ $proto := trim (or (first (groupByKeys $containers "Env.VIRTUAL_PROTO")) "http") }} {{/* Get the NETWORK_ACCESS defined by containers w/ the same vhost, falling back to "external" */}} {{ $network_tag := or (first (groupByKeys $containers "Env.NETWORK_ACCESS")) "external" }} {{/* Get the HTTPS_METHOD defined by containers w/ the same vhost, falling back to "redirect" */}} {{ $https_method := or (first (groupByKeys $containers "Env.HTTPS_METHOD")) "redirect" }} {{/* Get the SSL_POLICY defined by containers w/ the same vhost, falling back to "Mozilla-Intermediate" */}} {{ $ssl_policy := or (first (groupByKeys $containers "Env.SSL_POLICY")) "Mozilla-Intermediate" }} {{/* Get the HSTS defined by containers w/ the same vhost, falling back to "max-age=31536000" */}} {{ $hsts := or (first (groupByKeys $containers "Env.HSTS")) "max-age=31536000" }} {{/* Get the VIRTUAL_ROOT By containers w/ use fastcgi root */}} {{ $vhost_root := or (first (groupByKeys $containers "Env.VIRTUAL_ROOT")) "/var/www/public" }} {{/* Get the first cert name defined by containers w/ the same vhost */}} {{ $certName := (first (groupByKeys $containers "Env.CERT_NAME")) }} {{/* Get the best matching cert by name for the vhost. */}} {{ $vhostCert := (closest (dir "/etc/nginx/certs") (printf "%s.crt" $host))}} {{/* vhostCert is actually a filename so remove any suffixes since they are added later */}} {{ $vhostCert := trimSuffix ".crt" $vhostCert }} {{ $vhostCert := trimSuffix ".key" $vhostCert }} {{/* Use the cert specified on the container or fallback to the best vhost match */}} {{ $cert := (coalesce $certName $vhostCert) }} {{ $is_https := (and (ne $https_method "nohttps") (ne $cert "") (or (and (exists (printf "/etc/nginx/certs/letsencrypt/live/%s/fullchain.pem" $cert)) (exists (printf "/etc/nginx/certs/letsencrypt/live/%s/privkey.pem" $cert))) (and (exists (printf "/etc/nginx/certs/%s.crt" $cert)) (exists (printf "/etc/nginx/certs/%s.key" $cert)))) ) }} {{ if $is_https }} {{ if eq $https_method "redirect" }} server { server_name {{ $host }}; listen 80 {{ $default_server }}; {{ if $enable_ipv6 }} listen [::]:80 {{ $default_server }}; {{ end }} access_log /var/log/nginx/access.log vhost; return 301 https://$host$request_uri; } {{ end }} server { server_name {{ $host }}; listen 443 ssl http2 {{ $default_server }}; {{ if $enable_ipv6 }} listen [::]:443 ssl http2 {{ $default_server }}; {{ end }} access_log /var/log/nginx/access.log vhost; {{ if eq $network_tag "internal" }} # Only allow traffic from internal clients include /etc/nginx/network_internal.conf; {{ end }} {{ if eq $ssl_policy "Mozilla-Modern" }} ssl_protocols TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; {{ else if eq $ssl_policy "Mozilla-Intermediate" }} ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:!DSS'; {{ else if eq $ssl_policy "Mozilla-Old" }} ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP'; {{ else if eq $ssl_policy "AWS-TLS-1-2-2017-01" }} ssl_protocols TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:AES128-GCM-SHA256:AES128-SHA256:AES256-GCM-SHA384:AES256-SHA256'; {{ else if eq $ssl_policy "AWS-TLS-1-1-2017-01" }} ssl_protocols TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA'; {{ else if eq $ssl_policy "AWS-2016-08" }} ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA'; {{ else if eq $ssl_policy "AWS-2015-05" }} ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:DES-CBC3-SHA'; {{ else if eq $ssl_policy "AWS-2015-03" }} ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:DHE-DSS-AES128-SHA:DES-CBC3-SHA'; {{ else if eq $ssl_policy "AWS-2015-02" }} ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:DHE-DSS-AES128-SHA'; {{ end }} ssl_prefer_server_ciphers on; ssl_session_timeout 5m; ssl_session_cache shared:SSL:50m; ssl_session_tickets off; {{ if (and (exists (printf "/etc/nginx/certs/letsencrypt/live/%s/fullchain.pem" $cert)) (exists (printf "/etc/nginx/certs/letsencrypt/live/%s/privkey.pem" $cert))) }} ssl_certificate /etc/nginx/certs/letsencrypt/live/{{ (printf "%s/fullchain.pem" $cert) }}; ssl_certificate_key /etc/nginx/certs/letsencrypt/live/{{ (printf "%s/privkey.pem" $cert) }}; {{ else if (and (exists (printf "/etc/nginx/certs/%s.crt" $cert)) (exists (printf "/etc/nginx/certs/%s.key" $cert))) }} ssl_certificate /etc/nginx/certs/{{ (printf "%s.crt" $cert) }}; ssl_certificate_key /etc/nginx/certs/{{ (printf "%s.key" $cert) }}; {{ end }} {{ if (exists (printf "/etc/nginx/certs/%s.dhparam.pem" $cert)) }} ssl_dhparam {{ printf "/etc/nginx/certs/%s.dhparam.pem" $cert }}; {{ end }} {{ if (exists (printf "/etc/nginx/certs/%s.chain.pem" $cert)) }} ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate {{ printf "/etc/nginx/certs/%s.chain.pem" $cert }}; {{ end }} {{ if (and (ne $https_method "noredirect") (ne $hsts "off")) }} add_header Strict-Transport-Security "{{ trim $hsts }}" always; {{ end }} {{ if (exists (printf "/etc/nginx/vhost.d/%s" $host)) }} include {{ printf "/etc/nginx/vhost.d/%s" $host }}; {{ else if (exists "/etc/nginx/vhost.d/default") }} include /etc/nginx/vhost.d/default; {{ end }} location / { {{ if eq $proto "uwsgi" }} include uwsgi_params; uwsgi_pass {{ trim $proto }}://{{ trim $upstream_name }}; {{ else if eq $proto "fastcgi" }} root {{ trim $vhost_root }}; include fastcgi.conf; fastcgi_pass {{ trim $upstream_name }}; {{ else }} proxy_pass {{ trim $proto }}://{{ trim $upstream_name }}; {{ end }} {{ if (exists (printf "/etc/nginx/htpasswd/%s" $host)) }} auth_basic "Restricted {{ $host }}"; auth_basic_user_file {{ (printf "/etc/nginx/htpasswd/%s" $host) }}; {{ end }} {{ if (exists (printf "/etc/nginx/vhost.d/%s_location" $host)) }} include {{ printf "/etc/nginx/vhost.d/%s_location" $host}}; {{ else if (exists "/etc/nginx/vhost.d/default_location") }} include /etc/nginx/vhost.d/default_location; {{ end }} } } {{ end }} {{ if or (not $is_https) (eq $https_method "noredirect") }} server { server_name {{ $host }}; listen 80 {{ $default_server }}; {{ if $enable_ipv6 }} listen [::]:80 {{ $default_server }}; {{ end }} access_log /var/log/nginx/access.log vhost; {{ if eq $network_tag "internal" }} # Only allow traffic from internal clients include /etc/nginx/network_internal.conf; {{ end }} {{ if (exists (printf "/etc/nginx/vhost.d/%s" $host)) }} include {{ printf "/etc/nginx/vhost.d/%s" $host }}; {{ else if (exists "/etc/nginx/vhost.d/default") }} include /etc/nginx/vhost.d/default; {{ end }} location / { {{ if eq $proto "uwsgi" }} include uwsgi_params; uwsgi_pass {{ trim $proto }}://{{ trim $upstream_name }}; {{ else if eq $proto "fastcgi" }} root {{ trim $vhost_root }}; include fastcgi.conf; fastcgi_pass {{ trim $upstream_name }}; {{ else }} proxy_pass {{ trim $proto }}://{{ trim $upstream_name }}; {{ end }} {{ if (exists (printf "/etc/nginx/htpasswd/%s" $host)) }} auth_basic "Restricted {{ $host }}"; auth_basic_user_file {{ (printf "/etc/nginx/htpasswd/%s" $host) }}; {{ end }} {{ if (exists (printf "/etc/nginx/vhost.d/%s_location" $host)) }} include {{ printf "/etc/nginx/vhost.d/%s_location" $host}}; {{ else if (exists "/etc/nginx/vhost.d/default_location") }} include /etc/nginx/vhost.d/default_location; {{ end }} } } {{ if (and (not $is_https) (exists "/etc/nginx/certs/default.crt") (exists "/etc/nginx/certs/default.key")) }} server { server_name {{ $host }}; listen 443 ssl http2 {{ $default_server }}; {{ if $enable_ipv6 }} listen [::]:443 ssl http2 {{ $default_server }}; {{ end }} access_log /var/log/nginx/access.log vhost; return 500; ssl_certificate /etc/nginx/certs/default.crt; ssl_certificate_key /etc/nginx/certs/default.key; } {{ end }} {{ end }} {{ end }}

, nginx /etc/nginx/certs/%s.crt /etc/nginx/certs/%s.pem , %s — ( — , ).

/etc/nginx/certs/letsencrypt/live/%s/{fullchain.pem, privkey.pem} , :

 {{ $is_https := (and (ne $https_method "nohttps") (ne $cert "") (or (and (exists (printf "/etc/nginx/certs/letsencrypt/live/%s/fullchain.pem" $cert)) (exists (printf "/etc/nginx/certs/letsencrypt/live/%s/privkey.pem" $cert)) ) (and (exists (printf "/etc/nginx/certs/%s.crt" $cert)) (exists (printf "/etc/nginx/certs/%s.key" $cert)) ) ) ) }}

, domains.conf .

/tank0/docker/services/nginx-proxy/certs/letsencrypt/domains.conf

 *.NAS.cloudns.cc NAS.cloudns.cc

. , , , client_max_body_size 20, .

/tank0/docker/services/nginx-proxy/local-config/max_upload_size.conf

 client_max_body_size 20G;

, :

 docker-compose up

( ), Ctrl+C :

 docker-compose up -d

— nginx, . , , .
, NAS.

docker-compose :

/tank0/docker/services/test_nginx/docker-compose.yml

 version: '2' networks: docker0: external: name: docker0 services: nginx-local: restart: always image: nginx:alpine expose: - 80 - 443 environment: - "VIRTUAL_HOST=test.NAS.cloudns.cc" - "VIRTUAL_PROTO=http" - "VIRTUAL_PORT=80" - CERT_NAME=NAS.cloudns.cc networks: - docker0

docker0 — . .
expose — , . , 80 HTTP 443 HTTPS.
VIRTUAL_HOST=test.NAS.cloudns.cc — , nginx-reverse-proxy .
VIRTUAL_PROTO=http — nginx-reverse-proxy . , HTTP.
VIRTUAL_PORT=80 — nginx-reverse-proxy.
CERT_NAME=NAS.cloudns.cc — . , , . NAS — DNS .
networks — , nginx-reverse-proxy docker0 .

, . docker-compose up , test.NAS.cloudns.cc .

 $ docker-compose up Creating testnginx_nginx-local_1 Attaching to testnginx_nginx-local_1 nginx-local_1 | 172.22.0.5 - - [29/Jul/2018:15:32:02 +0000] "GET / HTTP/1.1" 200 612 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537 (KHTML, like Gecko) Chrome/67.0 Safari/537" "192.168.2.3" nginx-local_1 | 2018/07/29 15:32:02 [error] 8#8: *2 open() "/usr/share/nginx/html/favicon.ico" failed (2: No such file or directory), client: 172.22.0.5, server: localhost, request: "GET /favicon.ico HTTP/1.1", host: "test.NAS.cloudns.cc", referrer: "https://test.NAS.cloudns.cc/" nginx-local_1 | 172.22.0.5 - - [29/Jul/2018:15:32:02 +0000] "GET /favicon.ico HTTP/1.1" 404 572 "https://test.NAS.cloudns.cc/" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537 (KHTML, like Gecko) Chrome/67.0 Safari/537" "192.168.2.3"

, , , , : .

, Ctrl+C, docker-compose down .

local-rpoxy

, nginx-default , nas, omv 10080 10443 .

/tank0/docker/services/nginx-local/docker-compose.yml

 version: '2' networks: docker0: external: name: docker0 services: nginx-local: restart: always image: nginx:alpine expose: - 80 - 443 environment: - "VIRTUAL_HOST=NAS.cloudns.cc,nas,nas.*,www.*,omv.*,nas-controller.nas" - "VIRTUAL_PROTO=http" - "VIRTUAL_PORT=80" - CERT_NAME=NAS.cloudns.cc volumes: - ./local-config:/etc/nginx/conf.d networks: - docker0

docker-compose , .
, , , NAS.cloudns.cc . , NAS DNS , .

/tank0/docker/services/nginx-local/local-config/default.conf

 # If we receive X-Forwarded-Proto, pass it through; otherwise, pass along the # scheme used to connect to this server map $http_x_forwarded_proto $proxy_x_forwarded_proto { default $http_x_forwarded_proto; '' $scheme; } # If we receive X-Forwarded-Port, pass it through; otherwise, pass along the # server port the client connected to map $http_x_forwarded_port $proxy_x_forwarded_port { default $http_x_forwarded_port; '' $server_port; } # Set appropriate X-Forwarded-Ssl header map $scheme $proxy_x_forwarded_ssl { default off; https on; } access_log on; error_log on; # HTTP 1.1 support proxy_http_version 1.1; proxy_buffering off; proxy_set_header Host $http_host; proxy_set_header Upgrade $http_upgrade; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $proxy_x_forwarded_proto; proxy_set_header X-Forwarded-Ssl $proxy_x_forwarded_ssl; proxy_set_header X-Forwarded-Port $proxy_x_forwarded_port; # Mitigate httpoxy attack (see README for details) proxy_set_header Proxy ""; server { server_name _; # This is just an invalid value which will never trigger on a real hostname. listen 80; return 503; } server { server_name www.* nas.* omv.* ""; listen 80; location / { proxy_pass https://172.21.0.1:10443/; } } # nas-controller server { server_name nas-controller.nas; listen 80 ; location / { proxy_pass https://nas-controller/; } }

172.21.0.1 — . 443, OMV HTTPS. .
https://nas-controller/ — -, IPMI, nas, nas-controller.nas, nas-controller. .

LDAP

LDAP-

LDAP- — .
Docker . , , .

LDIF- .

/tank0/docker/services/ldap/docker-compose.yml

 version: "2" networks: ldap: docker0: external: name: docker0 services: open-ldap: image: "osixia/openldap:1.2.0" hostname: "open-ldap" restart: always environment: - "LDAP_ORGANISATION=NAS" - "LDAP_DOMAIN=nas.nas" - "LDAP_ADMIN_PASSWORD=ADMIN_PASSWORD" - "LDAP_CONFIG_PASSWORD=CONFIG_PASSWORD" - "LDAP_TLS=true" - "LDAP_TLS_ENFORCE=false" - "LDAP_TLS_CRT_FILENAME=ldap_server.crt" - "LDAP_TLS_KEY_FILENAME=ldap_server.key" - "LDAP_TLS_CA_CRT_FILENAME=ldap_server.crt" volumes: - ./certs:/container/service/slapd/assets/certs - ./ldap_data/var/lib:/var/lib/ldap - ./ldap_data/etc/ldap/slapd.d:/etc/ldap/slapd.d networks: - ldap ports: - 172.21.0.1:389:389 - 172.21.0.1::636:636 phpldapadmin: image: "osixia/phpldapadmin:0.7.1" hostname: "nas.nas" restart: always networks: - ldap - docker0 expose: - 443 links: - open-ldap:open-ldap-server volumes: - ./certs:/container/service/phpldapadmin/assets/apache2/certs environment: - VIRTUAL_HOST=ldap.* - VIRTUAL_PORT=443 - VIRTUAL_PROTO=https - CERT_NAME=NAS.cloudns.cc - "PHPLDAPADMIN_LDAP_HOSTS=open-ldap-server" #- "PHPLDAPADMIN_HTTPS=false" - "PHPLDAPADMIN_HTTPS_CRT_FILENAME=certs/ldap_server.crt" - "PHPLDAPADMIN_HTTPS_KEY_FILENAME=private/ldap_server.key" - "PHPLDAPADMIN_HTTPS_CA_CRT_FILENAME=certs/ldap_server.crt" - "PHPLDAPADMIN_LDAP_CLIENT_TLS_REQCERT=allow" ldap-ssp: image: openfrontier/ldap-ssp:https volumes: #- ./ssp/mods-enabled/ssl.conf:/etc/apache2/mods-enabled/ssl.conf - /etc/ssl/certs/ssl-cert-snakeoil.pem:/etc/ssl/certs/ssl-cert-snakeoil.pem - /etc/ssl/private/ssl-cert-snakeoil.key:/etc/ssl/private/ssl-cert-snakeoil.key restart: always networks: - ldap - docker0 expose: - 80 links: - open-ldap:open-ldap-server environment: - VIRTUAL_HOST=ssp.* - VIRTUAL_PORT=80 - VIRTUAL_PROTO=http - CERT_NAME=NAS.cloudns.cc - "LDAP_URL=ldap://open-ldap-server:389" - "LDAP_BINDDN=cn=admin,dc=nas,dc=nas" - "LDAP_BINDPW=ADMIN_PASSWORD" - "LDAP_BASE=ou=users,dc=nas,dc=nas" - "MAIL_FROM=admin@nas.nas" - "PWD_MIN_LENGTH=8" - "PWD_MIN_LOWER=3" - "PWD_MIN_DIGIT=2" - "SMTP_HOST=" - "SMTP_USER=" - "SMTP_PASS="

open-ldap — LDAP-.
phpldapadmin — WEB- . , ...
ldap-ssp — WEB- .

LDAP- , :

LDAP_ORGANISATION=NAS — . .
LDAP_DOMAIN=nas.nas — . . , .
LDAP_ADMIN_PASSWORD=ADMIN_PASSWORD — .
LDAP_CONFIG_PASSWORD=CONFIG_PASSWORD — .

-, " ", .

/container/service/slapd/assets/certs certs — . .
./ldap_data/ — , . LDAP .

ldap , 389 ( LDAP) 636 (LDAP SSL, ) .

PhpLdapAdmin : LDAP ldap 443 docker0 , , nginx-reverse-proxy.

VIRTUAL_HOST=ldap.* — , nginx-reverse-proxy .
VIRTUAL_PORT=443 — nginx-reverse-proxy.
VIRTUAL_PROTO=https — nginx-reverse-proxy.
CERT_NAME=NAS.cloudns.cc — , .

SSL .

SSP HTTP .
, , .

— LDAP.

LDAP_URL=ldap://open-ldap-server:389 — LDAP (. links ).
LDAP_BINDDN=cn=admin,dc=nas,dc=nas — .
LDAP_BINDPW=ADMIN_PASSWORD — , , open-ldap.
LDAP_BASE=ou=users,dc=nas,dc=nas — , .

LDAP LDAP :

 apt-get install ldap-utils ldapadd -x -H ldap://172.21.0.1 -D "cn=admin,dc=nas,dc=nas" -W -f ldifs/inititialize_ldap.ldif ldapadd -x -H ldap://172.21.0.1 -D "cn=admin,dc=nas,dc=nas" -W -f ldifs/base.ldif ldapadd -x -H ldap://172.21.0.1 -D "cn=admin,cn=config" -W -f ldifs/gitlab_attr.ldif

gitlab_attr.ldif , Gitlab ( ) .
.

LDAP

 $ ldapsearch -x -H ldap://172.21.0.1 -b dc=nas,dc=nas -D "cn=admin,dc=nas,dc=nas" -W Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=nas,dc=nas> with scope subtree # filter: (objectclass=*) # requesting: ALL # # nas.nas dn: dc=nas,dc=nas objectClass: top objectClass: dcObject objectClass: organization o: NAS dc: nas # admin, nas.nas dn: cn=admin,dc=nas,dc=nas objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator ... # ldap_users, groups, nas.nas dn: cn=ldap_users,ou=groups,dc=nas,dc=nas cn: ldap_users gidNumber: 500 objectClass: posixGroup objectClass: top # search result search: 2 result: 0 Success # numResponses: 12 # numEntries: 11

LDAP . WEB-.

OMV LDAP

LDAP , OMV : , , , , — .

LDAP .

, , NAS USB.
.
NUT GUI OMV.
"->" , , , , "eaton".

" " :

 driver = usbhid-ups port = auto desc = "Eaton 9130 700 VA" vendorid = 0463 pollinterval = 10

driver = usbhid-ups — USB, USB HID.
vendorid — , lsusb .
pollinterval — c.

lsusb , :

 # lsusb Bus 002 Device 001: ID 1d6b:0003 Linux Foundation 3.0 root hub --> Bus 001 Device 003: ID 0463:ffff MGE UPS Systems UPS Bus 001 Device 004: ID 046b:ff10 American Megatrends, Inc. Virtual Keyboard and Mouse Bus 001 Device 002: ID 046b:ff01 American Megatrends, Inc. Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub

" " " ".
, :

. , .
.

निष्कर्ष

. , , , , .
— .

-, OMV .

WEB-, , :

Docker WEB-:

, OMV .

CPU:

— . , - . , docker-compose exec , .
LDAP , ( SSL , ..).
, , .
ValdikSS DropbearSSH, initramfs . .

.
!

एक सुरक्षित एनएएस सॉफ्टवेयर प्लेटफॉर्म का कार्यान्वयन