admin 管理员组

文章数量: 887032


2024年3月5日发(作者:web小游戏源代码)

责任编辑:季莹

基础设施与数据管理Infrastructure & Data Management提升共享存储安全性■ 广州市疾病预防控制中心 淡武强笔者单位编者按:本文通过实例介绍了多台网络共享存储间通过SSH使其保持时用FreeNAS搭模式进行Rsync同步,把一份文件变成多份,提高了存储的间同步。服建了一台供多安全性;远程用户通过SSL VPN方式访问共享文件时与互务器A、B、C用户使用的网联网进行隔离,提高了访问的安全性。可以访问DMZ络存储,以SMB区的NTP服共享方式为内部务器,但不能访用户提供共享文问Internet,以件夹,运行一直比保证其网络安较稳定。现因用全。组网拓扑户资料重要,且具图如图1所示。有私密性,笔者从网络安全、存储安存储安全设计全和访问安全三A作为Rsyn个层面进行设计c(远程同步)并实施,很好地满的客户端,B和足了其防丢失、防C作为Rsync的图1 网络拓扑图窃取等安全性要服务端,A向B求。台FreeNAS服务器B作为主和C发起Rsync连接,连接备份服务器,购买一台群晖时使用SSH协议以提高安全网络安全设计DSM存储C作为辅备份服务性。连接成功后按照PUSH为用户提供共享文件器,均部署在内网服务器区。(推)的方式将共享文件夹中夹的FreeNAS服务器A位DMZ区部署一台NTP服务器,的文件增量备份到B和C。于内部服务器区,新搭建一为服务器A、B、C提供授时,其体系结构如图2所示。图2 Rsync备份服务器体系结构投稿信箱:********************** 2020.0875

Infrastructure & Data Management基础设施与数据管理 责任编辑:季莹

1.设备信息服务器上生成公/私密钥对,软件来运行命令行。SSH客服务器A并将A的公钥放入被连接方户端以管理员帐号supermanIP:192.168.1.101的authorized_keys文件中。(安装DSM系统时创建)连主机名:nasA(1)在A上生成公/私接后,提示“Could not

数据集:storA密钥对chdir to home directory

在A的WebGUI的命令/var/services/homes/服务器B行下,运行“ssh-keygen -t

superman: No such file

IP:192.168.1.102rsa”命令,创建一个RSA类to directory“,即DSM没主机名:nasB型的SSH密钥对。运行“cat

有为用户创建家目录。此时数据集:/id_”,查看其我们需要为用户创建家目公钥,鼠标选中公钥文本的录、.ssh目录和认证文件。服务器C全部内容,复制到剪贴板。运行如下命令IP:192.168.1.103(2)在B上粘贴A的公sudo mkdir -p /主机名:nasC钥var/services/homes/共享文件夹:storC在B的WebGUI界面,点superman/.ssh //强2.配置SSH服务击“帐户-用户-root”,编制创建homes子目录、A和B均用默认管理员辑root帐户,将A的公钥superman子目录、.ssh子目帐号root登录WebGUI,开启粘贴到“Authentication-录SSH服务,并勾选“以rootSSH公钥”下,保存。这样sudo chown -R

用户身份使用密码登录”选在B的root用户的家目录superman /var/services/项,勾选“自动启动”选项;C的.ssh子目录下便产生了homes/superman //更改用系统安装时创建的管理员“authorized_keys”文件,其拥有者帐号”superman”登录,在“控内容为A的公钥。当A向Btouch /var/services/制面板-终端机和SNMP-终发起SSH连接时,B检索到认homes/superman/.ssh/端机”中启动SSH功能。证文件中有A的公钥(证书),authorized_keys //生成3.配置无需密码的SSH便会与A实现无需密码认证authorized_keys文件连接的连接。vim authorized_keys

A与B、C进行Rsync同(3)在C上粘贴A的公 //编辑authorized_keys步前,需要先建立SSH连接。钥文件为了避免每次连接时均要输C是群晖的DSM将A的公钥粘贴到入被连接方的用户名密码,(DiskStation Manager)系“authorized_keys”文件中,简化连接过程,实现自动连统,其WebGUI界面下没有命保存。当A向C发起SSH连接,需要在发起SSH连接的A令行,需要通过SSH客户端接时,C检索到认证文件中762020.08

投稿信箱:**********************

责任编辑:季莹

基础设施与数据管理Infrastructure & Data Management有A的公钥(证书),便会与A2个Rsync任务,分别是与B理员帐号和IP地址实现无需密码认证的连接。和C进行同步。其设置参数Rsync模式:SSH(4)测试SSH连接为:远程路径:/volume1/在A的WebGUI界面的命任务1storC //C上共令行下,运行路径:/mnt/storA享文件夹的绝对路径ssh 192.168.1.102

用户:root方向:Push

//A用B的帐号root(默远程主机:192.168.1.10//从A推送到C认与自己的帐号相同)向B2 //B的IP安排Rsync任务:发起SSH连接地址Hourly //同步的ssh 192.168.1.103 -l

Rsync模式:SSH频率,此处选择每小时同步superman //A用C的远程路径:/mnt/storB

一次帐号superman向C发起SSH//B上共享文件夹的绝对路(2)在C上启用rsync连接径服务结果均连接成功,无需输方向:Push //从A在C的WebGUI界面入密码推送到B下,“控制面板-文件服设置安排Rsync任务:务-rsync”,启用rsync服务。本例中我们将A做为Hourly //同步的频(3)测试Rsync任务Rsync的客户端,B和C做率,此处选择每小时同步一在A的WebGUI界面下,为Rsync的服务端,把A上次“任务-Rsync任务”中,选中所有用户的共享文件夹远程创建任务2之前,我们任务1,点击任务1最右边的同步到B、C服务器进行备要查看C上共享文件夹的绝“>”箭头展开任务1,点击“立份。FreeNAS系统中Rsync对路径。用SSH客户端软件即运行”,弹出“任务已开始”客户端方不需要启用Rsync连接B,运行“ls /“命令,的提示,根据数据量大小不服务,当采用SSH认证模式发现有个volume1目录,运同,经过一段时间同步,任务时,服务器方也不需要启用行” ls / volume1“命令,状态显示”SUCCESS”。同样,Rsync服务,因此A和B不启volume1下有个storC子目测试一下任务2,同步也是成用Rsync服务。而C是群晖录,共享文件夹的绝对路径功的。的DSM系统,需要启用Rsync为“/volume1/storC”。之后,每过一个小时,A服务。任务2就会运行任务1和任务2,向(1)在A上创建Rsync路径:/mnt/storCB、C发起Rsync请求,进行增任务用户:root量备份,即只需把上次同步在A的WebGUI界面下,远程主机:superman@19以来,有改变的文件备份到B“任务-Rsync任务“中,添加2.168.1.103 //C的管和C上。投稿信箱:********************** 2020.0877

Infrastructure & Data Management基础设施与数据管理 责任编辑:季莹

如果要在B上查看从A在多合一网关的WebGUI属性配置:是同步备份过来的文件,在B界面下,“SSL VPN-模块管继承父组的角色权限:的WebGUI界面的命令行下,理”中,编辑“全网接入”模否

运行“ls /mnt/storB”,发现块,参数如下://需要定制角色权限该目录下有个“storA”子目DHCP服务器类型:本地录,其内容与A上的“/mnt/虚拟网卡接口IP:认证策略设置如下:storA”完全相同,表明已同10.10.10.1 //为多合使用全局认证设置:不步成功。一网关添加一个Loopback勾选同样,SSH客户端软件查环回接口认证因子:勾选口令认看C上的“/volume1/storC”虚拟网卡接口IP子网掩证下也有“storA”子目录,同码:255.255.255.0口令复杂度:勾选包含步成功。工作模式:网络隔离(禁大小写字母、数字、特殊字符止上网)等访问安全设计2.创建DHCP地址池由于A、B、C服务器均未在“网络管理-DHCP-DHCP其他属性设置如下:对Internet开放服务,内网服务器”中,为“lo”(LoopbackSSL VPN全网接入工作用户访问A提供的共享文件环回接口)创建一个地址池,模式:网络隔离(禁止上网)夹是相对安全的。如何让远此处为100.100.100.0/24。4.添加SSL VPN资源程办公的移动用户既能访问3.创建并设置用户组在“SSL VPN-资源管理”A,又保证安全,我们对移动在“用户认证-用户管理中,添加一条允许SSL VPN用户设计了通过SSL VPN的-添加组”中,新建一个用户用户访问的资源,设置如下:访问方式,并设置网络隔离组,命名为“share folder”,资源名称:共享文件夹策略,当移动用户连接VPN编辑这个组,基本信息设置如访问方式:全网接入

后,就会与Internet隔离,下://在3.1的SSL VPN模块设无法打开Internet网页,所属父组:root

置中已为全网接入模块设置与Internet相连的程序如//此组为一级组了网络隔离工作模式QQ、微信等也会处于离线状虚地址池:100.100.100.资源地址:192.1态。内、外网络边界有一台0/255.255.255.0 //68.1.101 //这里只天融信的多合一网关,其带上一步中创建的地址池是为用户访问A服务器设置有IPSEC VPN和SSL VPN功继承父组的属性配置:一个链接,实际上用户使用能,需要对其进行网络隔离否

时不需要点击这个链接设置,设置如下://需要定制组的属性IP地址:192.168.1.101

1.设置SSL VPN模块强制下级组或用户继承//A服务器的IP地址782020.08

投稿信箱:**********************

责任编辑:季莹

基础设施与数据管理Infrastructure & Data Management网络掩码:255.255.255.文件夹”角色,“共享文件夹”SSL VPN方式连接多合一255角色拥有访问“共享文件夹”网关时,从网关的DHCP地协议类型:IP这一SSLVPN资源的权限。址池100.100.100.0/24SSL VPN用户连接成功7.添加两条静态路由中获取一个临时地址如后,运行“192.168.1.101”在“网络管理-路由-100.100.100.5/24,访问方访问共享文件夹。路由表”中,添加两条静态路式为“全网接入”。之所以不在访问方式中由,设置如下:由于SSL VPN模块全网选择“应用Web化”,在协议路由1设置接入的工作模式为“网络隔类型中选择”文件共享“,是目的地址:100.100.100.离(禁止上网)”,用户user1因为SSL VPN模块管理中“应0此时已无法打开Internet用Web化”模块无法编辑,也目的掩码:255.255.255.网页,与Internet相连的程就无法设置网络隔离工作模0序如QQ、微信等也会处于离式。网关:10.10.10.1线状态,这实际上是通过路5.创建并设置角色出接口:sslvpn0

由黑洞实现的。在“用户认证-角色管//多合一网关自带SSL VPN

用户仅能访问IP地址理”中添加角色,角色名为0虚接口,用于SSL VPN数据为192.168.1.101的A服务“共享文件夹”。编辑此角色,包路由器,而无法访问内网中其它组选择3.3中创建的“share

IP地址。这大大提高了移动folder”组,SSLVPN资源选路由2设置用户访问共享文件夹的安全择3.4中创建的“共享文件目的地址:10.10.10.0性。夹”资源。目的掩码:255.255.255.06.创建用户网关:0.0.0.0总结在“用户认证-用户管理”出接口:sslvpn0多台网络存储服务器间中添加用户,其设置如下:此外,当在3.2中创建了通过Rsync远程同步进行增名称:user1DHCP地址池以后,路由表中量备份,既可以避免只有一所属父组:share folder便自动产生了如下一条路由台存储存在的单点故障问帐号类型:本地3:题,又可以避免手工备份造口令:

目的地址:10.10.10.1成的工作量加大和数据不一//设置用户口令目的掩码:255.255.255.2致缺陷,而通过SSL VPN及确认口令:55网络隔离措施,既可以为移此处采用角色管理,用网关:0.0.0.0动用户提供远程访问共享文户属于“share folder”组,出接口:lo件夹服务,又可以保证其访share folder组属于“共享当移动用户user1以问过程中的安全性。投稿信箱:********************** 2020.0879


本文标签: 用户 连接 设置 文件