CC BY
23
УДК 62
Бедняк С.Г.
доцент кафедры информационных систем и технологий, кандидат педагогических наук, Поволжский государственный университет телекоммуникаций и информатики,
Россия, г. Самара Прохоров А.В.
студент, Поволжский государственный университет телекоммуникаций и информатики,
Россия, г. Самара Атанов В.В.
студент, Поволжский государственный университет телекоммуникаций и информатики,
Россия, г. Самара
НАДЁЖНАЯ И УНИВЕРСАЛЬНАЯ ОПЕРАЦИОННАЯ СИСТЕМА ДЛЯ СЕТЕВЫХ ХРАНИЛИЩ
Аннотация
При выборе операционной системы для сетевого хранилища важна безопасность, будь то небольшой сервер для личных целей или же профессиональное NAS хранилище для нужд организации, где будет храниться огромное количество конфиденциальных данных. Однако не стоит забывать про универсальность системы и про предоставляемые возможности файловой системой для обработки и проверки целостности файлов. Немало важна и производительность системы, ведь помимо надежности хранимой информации сервер должен обладать высокой скоростью чтения и записи. В данной работе будут рассмотрены одни из самых популярных операционных систем для сетевых хранилищ, путем сравнения будет выявлена универсальная ОС с широким спектром предоставляемых пользователю функций и с наиболее надежной системой шифрования данных.
Ключевые слова:
операционная система (ОС); сетевое хранилище; файловая система; система шифрования.
Для сравнения были выбраны пять наиболее популярных и зарекомендовавших себя со временем операционных систем, имеющих стабильные версии и большое сообщество пользователей. Для начала приведу таблицу, где описываются и сравниваются выбранные мной ключевые параметры всех систем [табл.1].
Таблица 1
Описание и сравнение выбранных ключевых параметров систем
Название ОС Актуальная версия Лицензия Файловые система Системы шифрования Рекомендуемые требования Особенности
OpenMedia Vault 5.6.26 GPL v3 ext2, ext3, ext4, Btrfs, XFS, JFS, NTFS, FAT32 LUKS Процессор: любой x86-64 или ARM-совместимый процессор; Оперативная память: 1 Гб; Размер системного раздела: 4 Гб. Debian 10, Низкие системные требования. Возможность установки на Rasberry Pi. Добавление шифрования через установку плагина.
Synology DSM 7.1 Synology Inc BTRFS eCryptFS, SED Процессор: 64 разрядный процессор с тактовой частотой более 1,4ГГц и поддержкой виртуализации; Оперативная Прост в использовании. Масштабируемость данных. Поддержка снапшотов.
Название ОС Актуальная версия Лицензия Файловые система Системы шифрования Рекомендуемые требования Особенности
память: 2 Гб; Размер системного раздела: 32 Гб.
TrueNAS Core 12.0-U8 BSD OpenZFS SED, GELI, Native ZFS encryption Процессор: 2-Core Intel 64-Bit или AMD x86_64 8 Гб; Оперативная память: 8 Гб; Минимальный размер накопителя: 16 Гб FreeBSD, ZFS, Регулярные обновления. Снапшоты, их репликация и синхронизация. Поддержка плагинов. Довольно требовательна к системе. Высокая надежность хранения данных.
Synology DSM 7.1 Synology Inc BTRFS eCryptFS, SED Процессор: 64 разрядный процессор с тактовой частотой более 1,4ГГц и поддержкой виртуализации; Оперативная память: 2 Гб; Размер системного раздела: 32 Гб. Прост в использовании. Масштабируемость данных. Поддержка снапшотов.
XigmaNAS 12.3.0.4.894 8 BSD OpenZFS GELI Процессор: 64 разрядный процессор; Оперативная память: 4 Гб; Размер системного раздела: 2 Гб. FreeBSD, Поддержка совместного использования файлов в нескольких ОС, ZFS v5000
Rockstor 4.1.0 GPLv2 license. BRTFS LUKS Процессор: 64/86 разрядный процессор celeron/AMD или ARM64 A53; Оперативная память: 2 Гб; Размер системного раздела: 16 Гб. Возможность онлайн управления накопителями. Репликация. Система плагинов на базе Docker.
Выделим достоинства и недостатки каждой из ОС.
OpenMediaVault(OMV) из всех представленных ОС OMV имеет наименьшие системные требования, что является ее главной особенностью. OMV интегрирована с Debian Linux, последняя версия использует Debian 10. Имеется поддержка нескольких архитектур Arm, что позволяет установить ОС на USB-накопители или даже на Rasbperry Pi. Пользователям для работы доступны файловые системы ext3, btrfs, xfs и jfs, по умолчанию используется ext4. OMV поддерживает несколько уровней RAID, для каждого из которых требуется разное количество дисков. ОС уступает своим оппонентам в возможностях файловой системы, также отсутствует поддержка облачных сервисов. Большинство базовых функций доступны лишь на уровне плагинов. В данной операционной системе используется система шифрования LUKS, однако она не является встроенной, поэтому пользователи вынуждены устанавливать её в качестве плагина. Система шифрования LUKS - это шифрование основанное на dm-crypt, является одной из самых популярных и высокопроизводительных систем шифрования накопителей. Изначально система создавалась для ОС
Linux, однако со временем стала широко применяться на всех видах дистрибутивов Linux, в том числе и в сетевых устройствах хранения данных. Имеется поддержка нескольких алгоритмов шифрования: AES, Serpent, Twofish, CAST-128 и CAST-256. Большинство пользователей использует исключительно AES, так как другие алгоритмы реальную безопасность не повышают, но требуют больше ресурсов. Система LUKS имеет отличительную особенность, а именно поддержку до восьми ячеек ключей шифрования, каждая ячейка в свою очередь защищена уникальным паролем. Однако достаточно взломать пароль от любой ячейки, чтобы получить доступ к расшифрованным данным. Также у этого метода есть существенный недостаток, поскольку шифруются абсолютно все данные, для выполнения каких-либо операций с накопителем требуется смонтировать весь диск. В минусы можно занести отсутствие возможности сделать резервную копию, создать или восстановить снимок без ввода ключа доступа.
SynologyDSM единственная платная ОС из представленных вариантов. DSM максимально оптимизирована для работы с RAID массивами, сетевыми и дисковыми контроллерами. Имеется совместимость со всеми сетевыми протоколами и с большим количеством облачных сервисов. Поддерживаются файловые системы ext4 и btrfs. Реализована возможность делать моментальные снимки ПО для защиты данных. Благодаря поддержке Docker доступна виртуализация полноценных ОС. Также имеется поддержка установки дополнительных пакетов, созданных самой компанией или сообществом. ОС представляет из себя гибрид частного и общедоступного облака, однако со стороны безопасности некоторые пользователи предпочли бы избежать общедоступного облака. В SynologyDSM используется встроенная криптографическая система eCryptFS, работающая на уровне ядра; имеется поддержка накопителей с аппаратным SED шифрованием, eCryptFS может подключаться к диску независимо зашифрован он или нет. Шифрование осуществляется на уровне папок, а не на полнодисковом, как у большинства систем шифрования. При этой системе каждый файл шифруется отдельно, а метаданные, такие как размер, расширение и количество файлов в папках, хранятся в его заголовке. Однако при таком методе невозможны функции дедупликации. При шифровании, отсутствует возможность сменить пароль, в этом случае придется перешифровывать все данные. Также этот метод имеет низкую производительность, потому что добавляет метаданные к каждому файлу после шифрования. SED является аппаратным шифрованием на уровне накопителя, оно доступно на некоторых моделях дисков. Такое шифрование не является уникальным для какой-либо операционной системы, диски будут защищены в любой системе, которая поддерживает такой тип защиты. Шифрование осуществляется по стандарту AES, Opal 2.0 и Enterprise. Несмотря на одновременную поддержку двух систем шифрования, SynologyDSM имеет две уязвимости. Если пользователь хранит свои ключи шифрования внутри Диспетчера ключей DSM, то злоумышленники могут перехватить ключ и получить доступ к данным. Также у всех устройств Synology вместо пароля используется единая парольная фраза.
XigmaNAS основана на FreeBSD и использует файловую систему ZFS v5000. Представляет из себя облегченную альтернативу ранних версий TrueNAS. Помимо ZFS имеется возможность выбрать другие файловые системы UFS, FAT32, EXT2 и классические RAID, благодаря чему XigmaNAS может быть установлена на слабых устройствах. Из особенностей можно выделить создание тюрем для установки дополнительного ПО, изолированно от ОС и виртуализацию для целых ОС. Отсутствует возможность работы с облачными сервисами. Также неудобно представлена функция получения состояния сервера через GUI или E-mail. В качестве системы шифрования используется GELI. Шифрование GELI является стандартом для ОС на базе FreeBSD, который рекомендуют к использованию в большинстве случаев, так же в новых версиях была добавлена поддержка метода шифрования XTS. GELI представляет из себя класс модульной подсистемы дисковой структуры GEOM, которая пропускает через себя запросы ввода и вывода. Модуль этот подключается на любом уровне, будь то целый накопитель, раздел, файл или уже зашифрованный диск. GELI поддерживает такие алгоритмы шифрования как AES, Blowfish и 3DES. Имеет возможность создания не только двоичного ключа, но и одноразового, который может использоваться
для шифрования временных данных. Также отличительной особенностью этой системы является способность шифрования данных с использованием нескольких ключей, каждый из которых используется для своего набора блоков. С помощью консольных команд можно извлечь метаданные о файлах, однако информация о файлах будет крайне ограниченной. Серьезных недостатков или уязвимостей не имеет.
Rockstror базируется на CentOS и использует файловую систему Brtfs со всеми её функциями. Реализована поддержка плагинов через Docker. Имеется возможность резервного копирования, моментальных снимков. Brtfs создает две копии метаданных и проверяет контрольные суммы во время каждого процесса чтения, что позволяет избежать незамеченных ошибок. Однако файловая система работает с целым диском, а не с разделами. В качестве системы шифрования используется LUKS вместе с поддержкой защиты данных BitRot. ОС будет обнаруживать и исправлять повреждения, которые могут возникнуть в процессе деградации носителя.
TrueNas Core является надстройкой над UNIX-подобными системами, TrueNAS Core работает на FreeBSD со всеми её особенностями, она обладает полной поддержкой всех функций Zettabyte (OpenZFS) - как файловой системы, так и системы управления дисками. В OpenZFS используется система copy-on-write, которая в процессе работы оперирует новыми блоками, из-за чего данные не перезаписываются и не меняются. Такая система не позволяет повреждать данные, так как старые блоки не затираются и новые варианты всегда записываются в новый каталог. OpenZFS предоставляет огромное количество функций, таких как прозрачное сжатие и дедупликация вводимых данных в режиме реального времени или создание всех уровней хранилищ (dataset, vdev и zpool) и управление ими, встроенное шифрование на уровне диска или набора данных, снапшоты и их репликация. TrueNAS поддерживает несколько стандартов шифрования (SED, GELI и Native ZFS encryption). Отдельного внимания заслуживает новый стандарт шифрования Native ZFS encryption, так как он имеет преимущества над другими стандартами. Использует шифр AES-256 в режиме GCM, однако по необходимости можно выбрать длину ключа 128, 192 или 256 и два режима CCM или GCM. Все ключи шифрования защищены еще одним ключом, который генерируется с помощью заданного количества итераций функции PBKDF2. Этот метод шифрования не является полнодисковым, поэтому некоторые структуры ZFS остаются доступными для операций над ними без необходимости ввода ключа шифрования. Вы можете проводить сервисные операции по верификации целостности данных, делать моментальные снимки или их репликацию на зашифрованных дисках, даже если не указан ключ шифрования, и это только часть множества доступных команд. Одним из самых главных плюсов является функция быстрой смены пароля или ключа шифрования без необходимости перешифровки всех данных, чего другие механизмы шифрования себе позволить не могут, и в случае утечки пароля пользователю придется смириться с этим фактом. Несмотря на все преимущества, у шифрования ZFS есть ряд недостатков, которые позволяют получить некоторую информацию о зашифрованных данных. Всем пользователям доступны размеры и имена файловых систем, метаданные и адреса одинаковых блоков при дедупликации, независимо от ввода ключа или пароля, однако такую информацию вряд ли можно назвать ценной.
Каждая операционная система уникальна и имеет свои достоинства и недостатки, однако наиболее надежной и универсальной выглядит TrueNAS Core. Система шифрования eCryptFS, которую использует SynologyDSM, по сравнению с другими системами работает медленно и имеет серьезные уязвимости в безопасности, например утечка данных путем предоставления информации о зашифрованных файлах. Система LUKS безопаснее, удобнее и быстрее, чем eCryptFS, однако она ограничена в функциональности, отсутствует возможность выполнять операции по репликации и дедупликации данных без ввода ключа шифрования. OpenZFS хранит контрольную сумму блоков в RAID массиве, что позволяет защищать накопители от битового гниения аналогично BitRot в Rockstor. Самыми надежными системами являются GELI, используемая в XigmaNAS, и OpenZFS. Однако XigmaNAS поддерживает старую версию файловой системы OpenZFS, поэтому не имеет всех новых возможностей, представленных в TrueNAS. К тому же в
TrueNAS можно использовать две системы шифрования одновременно (Native ZFS encryption и GELI), благодаря чему получается схема полного шифрования данных без серьезной потери производительности системы. Однозначно, что TrueNAS с поддержкой нескольких систем шифрования, с огромным количеством функций и возможностей файловой системы OpenZFS является самой безопасной и гибкой операционной системой на сегодняшний день. Список использованной литературы:
I.SynologyDSM//Synology [Электронный ресурс]: https://www.synology.eom/ru-ru/dsm/6.2/software_spec/ dsm#system_mgmt_security_feature (дата обращения 11.05.2022)
2. Rockstor Documentation//Rockstor [Электронный ресурс]: https://roekstor.com/does/ (дата обращения
II.05.2022)
3. Testing Native ZFS Encryption Speed// Medo [Электронный ресурс]: https://www.medo64.com/2020/06/testing-native-zfs-encryption-speed/ (дата обращения 12.05.2022)
4. GELI // Wikipedia [Электронный ресурс]: https://en.wikipedia.org/wiki/Geli_(software) (дата обращения 12.05.2022)
5. Шифрование файловых систем ZFS// Oracle [Электронный ресурс]: https://docs.oracle.com/cd/ E53394_01/html/E54801/gkkih.html (дата обращения 20.03.2022)
6. Brtfs wiki // Brtfs [Электронный ресурс]: https://btrfs.wiki.kernel.org/index.php/Main_Page (дата обращения 12.05.2022)
7. 13.0 Release Notes// TrueNAS [Электронный ресурс]:
https://www.truenas.com/docs/core/corereleasenotes/ (дата обращения 12.05.2022)
8. Complete Guide to Bit Rot// MiniTool [Электронный ресурс]: https://www.partitionwizard.com/clone-disk/bit-rot.html (дата обращения 12.05.2022)
9. OpenMediaVault Features // OpenMediaVault [Электронный ресурс]: https://openmediavault. readthedocs.io/en/latest/features.html (дата обращения 10.05.2022)
10. XigmaNAS Features // XigmaNAS [Электронный ресурс]: https://xigmanas.com/wiki/#xigmanas_-_the_original_open_source_network_attached_storage_distribution (дата обращения 11.05.2022)
© Бедняк С.Г., Прохоров А.В., Атанов В.В., 2022
УДК 620.16
Квашнин А.Б.
канд. техн. наук, ФГБУ ВНИИ ГОЧС (ФЦ), г. Москва, РФ
ОСОБЕННОСТИ ВЕДЕНИЯ АВАРИЙНО-СПАСАТЕЛЬНЫХ РАБОТ ПРИ ЛИКВИДАЦИИ ЧРЕЗВЫЧАЙНОЙ СИТУАЦИИ
Аннотация
В публикации рассмотрен общие вопросы ведения аварийно-спасательных работ в радиоактивно заражённой местности, методы устранения последствий и общее техническое оснащение
Ключевые слова
Радиоактивное загрязнение, ликвидация аварий, локалазация радиоактивных загрязнений, пылеподавление, рецептура, радиоактивные отходы
