NAS: Jak na firewall a zabezpečení?
28.6.2013, Radan Tuhý, návod
Ke správné a kompletní konfiguraci NASu patří nepochybně také jeho zabezpečení. Pokud chcete mít svá data v bezpečí, je dobré osvojit si základní pravidla přidělování práv, oprávnění, síly hesel a v neposlední řadě mít správně nakonfigurovaný firewall.
Kapitoly článku:
- Úvod, jednotlivé oblasti, na které se zaměříme
- Uživatelské účty a práva, hesla
- Sdílení a pravidla oprávnění
- Aktualizace firmware a aplikací
- Firewall, závěr
Pokud to se zabezpečením svých dat myslíte vážně, sdílejte pouze taková data, která jsou k tomu určena (a pouze těm uživatelům, kterým jsou určena). Určitý typ dat je nevhodné sdílet zcela obecně (např. zálohy), u většiny dat lze předpokládat, že k nim mají přístup pouze někteří uživatelé (typicky dokumenty), no a pak jsou data, ke kterým mohou přistupovat všichni uživatelé.
Dobrou praxí zejména při větším množství uživatelů je vytvořit více sdílených složek, přičemž jednu z nich budou mít všichni společnou (data určená pro vzájemnou kolaboraci), no a pak udělat samostatnou složku pro každou skupinu uživatelů (typicky jednotlivá oddělení).
Docela příjemnou vlastností uživatelských profilů v rámci většiny operačních systémů (NAS postavený na Linuxu nevyjímaje) je možnost vytvořit tzv. domovský adresář. Tato možnost není ve výchozím nastavení aktivní (alespoň u NASů od Synology), ale lze domovské adresáře aktivovat dodatečně v nastavení.
Jakmile tohle učiníme, každý uživatel získá vlastní prostor pro svá data (dokumenty, jedinečná struktura, atp.), která nejsou sdílena s kýmkoli jiným. Výhoda domovských adresářů je možnost zahrnout tato data do záloh (pokud zálohujeme), kupříkladu na samostatný disk. Tomu jsme se věnovali v jednom z předchozích článků.
Na nastavování oprávnění se vztahuje několik všeobecně platných doporučení, které bychom doporučili vzít během konfigurace v úvahu. Pokusíme se vyjmenovat ty nejdůležitější spolu se základním vysvětlením a popisem.
Podrobný návod na vytváření oprávnění a popis toho, jak funguje konfigurace oprávnění v Linuxovém systému, si můžete přečíst zde.
Dobrou praxí zejména při větším množství uživatelů je vytvořit více sdílených složek, přičemž jednu z nich budou mít všichni společnou (data určená pro vzájemnou kolaboraci), no a pak udělat samostatnou složku pro každou skupinu uživatelů (typicky jednotlivá oddělení).
Docela příjemnou vlastností uživatelských profilů v rámci většiny operačních systémů (NAS postavený na Linuxu nevyjímaje) je možnost vytvořit tzv. domovský adresář. Tato možnost není ve výchozím nastavení aktivní (alespoň u NASů od Synology), ale lze domovské adresáře aktivovat dodatečně v nastavení.
Jakmile tohle učiníme, každý uživatel získá vlastní prostor pro svá data (dokumenty, jedinečná struktura, atp.), která nejsou sdílena s kýmkoli jiným. Výhoda domovských adresářů je možnost zahrnout tato data do záloh (pokud zálohujeme), kupříkladu na samostatný disk. Tomu jsme se věnovali v jednom z předchozích článků.
Všeobecná doporučení
Na nastavování oprávnění se vztahuje několik všeobecně platných doporučení, které bychom doporučili vzít během konfigurace v úvahu. Pokusíme se vyjmenovat ty nejdůležitější spolu se základním vysvětlením a popisem.
- Používejte skupiny - ačkoli se to na začátku může zdát zbytečně složité, v budoucnu se pak stane správa oprávnění pomocí skupin daleko jednodušší. Pokud například vytvoříte skupiny podle účelu daného přístupu, bude stačit nového uživatele pouze přiřadit do odpovídajících skupin, čímž získá požadovaný přístup. V neposlední řadě si tak zjednodušíte práci ve chvíli, kdy budete potřebovat zjistit, kdo má k dané složce vlastně oprávnění.
- Nenastavujte oprávnění u souborů - toto všeobecné doporučení plyne z praxe, jelikož je vyzkoušeno, že mít různá oprávnění v rámci jedné složky je poměrně komplikované jak na administraci, tak následné používání. Lepším řešením je vytvořit novou složku.
- Nastavujte pouze taková oprávnění, která jsou nezbytně nutná - pokud všichni můžou všechno, znamená to také, že všichni můžou všechno pokazit. Obecně platí, že čím méně má uživatel možnost měnit, tím lépe.
- Vyhněte se explicitnímu zakazování přístupu - v některých případech lze explicitně zakázat přístup. Může se zdát jednodušší vše povolit a něco zakázat, ale opak je pravdou - zakázaný přístup má vyšší prioritu, takže se pak může stát, že někomu nebude něco fungovat a nikdo nebude vědět proč.
Podrobný návod na vytváření oprávnění a popis toho, jak funguje konfigurace oprávnění v Linuxovém systému, si můžete přečíst zde.
