Резервирование данных и надежная работа сервисов
Непрерывная работа служб и резервирование данных — важные аспекты для клиентов Synology. Поэтому с DSM 7.0 появились инновации в обеих сферах.
Резервирование данных
Недавно мы опубликовали статью, посвященную преимуществам Synology Active Backup for Business. Active Backup for Business уже поддерживает резервирование с платформ Windows, Hyper-V и VMware. В DSM 7.0 появилась поддержка Linux bare-metal backup, что позволяет клиентам Synology консолидировать инфраструктуру резервирования данных в одном решении.
Агент Synology Linux работает через интерфейс командной строки, поддерживаются дистрибутивы RHEL, CentOS, Ubuntu, Fedora, Debian. Присутствуют различные способы восстановления: bare-metal, на уровне файлов, через Instant Restore на гипервизоры (Hyper-V/VMware/Synology Virtual Machine Manager). Имеется поддержка инкрементного резервирования с помощью CBT (Changed Block Tracking), благодаря глобальной дедупликации увеличивается эффективность использования пространства для копий зарезервированных данных.
Теперь Active Backup for Business поддерживает шифрование AES-256 и сжатие данных на источнике резервирования при передаче. Что повышает эффективность использования хранилища и защиту данных. Сжатие, в среднем, позволяет сэкономить до 40% пространства. Причем на работу глобальной дедупликации сжатие не влияет.
Активация шифрования и сжатия данных выполняется для устройства резервирования, а не для задачи. То есть если шифрование и сжатие активированы для устройства, то все последующие задачи резервирования будут их использовать.
Появилась функция миграции Instant Restore, если виртуальные машины были восстановлены на Synology Virtual Machine Manager. Можно легко выполнить миграцию на оригинальное окружение виртуализации Hyper-V или VMware, но в Synology Virtual Machine Manager виртуальную машину необходимо сначала выключить.
В 2021 году будет добавлена поддержка резервирования macOS и Synology DSM в Active Backup for Business.
Hyper Backup теперь поддерживает больше пакетов приложений DSM, в том числе Central Management System (CMS), Synology Drive, Cloud Sync, USB Copy и другие.
К учетной записи Synology теперь можно привязать автоматическое резервирование конфигурации DSM. Какие-либо дополнительные настройки или пространство хранения для этого не требуются.
Надежная работа сервисов
Synology High Availability позволяет связать два одинаковых устройства Synology в активном и пассивном режиме в кластер высокой доступности SHA. Все службы запускаются на активном сервере. Пассивный сервер работает в режиме ожидания и только получает данные от активного сервера в режиме реального времени. Он недоступен для входа, пока на него не будут переключены службы в случае сбоя активного сервера. Подобный кластер позволяет уменьшить время простоя сервисов, повышая надежность инфраструктуры.
В случае DSM 7.0 Synology полностью пересмотрела процесс обновления кластеров SHA, уменьшив необходимое для этого время на 85%. Ручное переключение пассивной и активной ролей (switchover) происходит на 37% быстрее, автоматическое переключение в случае потери активного сервера (failover) выполняется на 30% быстрее. Все это позволяет снизить время простоя SHA.
Создание контейнера разработки Ubuntu 20.04 LTS
Чтобы создать новый контейнер с помощью пользовательского образа Docker Synology-dev / ubuntu: 20.04, выберите его и нажмите Запуск из Изображение раздел Докер app, как показано на скриншоте ниже.
Введите Название контейнера.
Я назову это s01. Вы можете называть это как хотите.
Нажмите на Расширенные настройки, как отмечено на скриншоте ниже.
Проверить Включить автоматический перезапуск флажок из Расширенные настройки вкладка Расширенные настройки окно.
Перейдите к Объем вкладка Расширенные настройки окно.
Чтобы добавить Проекты общая папка (которую вы создали в предыдущем разделе этой статьи для хранения всех файлов проекта) в контейнер, нажмите Добавить папку, как отмечено на скриншоте ниже.
Выберите Проекты общая папка из списка и нажмите Выбирать.
Должна быть добавлена новая запись, как вы можете видеть на скриншоте ниже.
Введите путь, по которому вы хотите установить Проекты общая папка в вашем контейнере.
Я установлю Проекты общая папка в пути /home/shovon/projects.
Перейдите к Настройки порта вкладка из Расширенные настройки окно.
Введите Местный порт номер 2222 для Контейнерный порт номер 22, как отмечено на скриншоте ниже.
Когда вы закончите, нажмите Применять.
Нажмите на Следующий.
Нажмите на Применять.
Новый контейнер s01 должны быть созданы, как вы можете видеть в Контейнер раздел Докер приложение.
Enabling the User Home Service
Upon SSHing in as any user besides , you might see a warning message (this example is for the “admin” user):
This warning happens because home directories are controlled by DSM’s “user home service”, which is disabled by default. To prevent the error, enable the user home service by checking the Control Panel → “User” menu → “Advanced” tab → “User Home” group → “Enable user home service” checkbox.
I recommend enabling the user home service even if you don’t plan on using home directories, since leaving it disabled may cause some programs that rely on SCP/SFTP (, etc) to abort with errors, regardless of which directory you’re trying to manipulate.
By default, a given user’s home directory is located at .
5 — настраиваем OpenVPN
Вообще, VPN-тоннели обычно реализуют с помощью программных или аппаратных шлюзов доступа, но каждый NAS от Synology может выступать как клиентом, так и сервером VPN: без зависимости от стороннего ПО, без лицензий и сложных настроек командной строки. Мы рекомендуем максимально заворачивать внешний трафик через VPN, даже если соединение итак защищено. В серверной части поддерживаются устаревший PPTP, быстрый и эффективный L2TP/IPsec и универсальный OpenVPN, который можно использовать не только по UDP, но и по TCP транспорту. Для максимальной безопасности имеет смысл поменять стандартный порт 1194 на произвольный.
Настройка VPN-клиента осуществляется в разделе сетевых подключений, и здесь так же доступны три типа туннелей: PPTP, IPSec и OpenVPN. Последний настраивается путём импорта .ovpn файла, без ручных настроек.
На данном этапе мы произвели все настройки, чтобы защитить учётные записи от попыток похищения пароля или взлома методом перебора. Ещё раз спешу заметить, что пока что наши действия относятся только к web-панели NAS-а, и не касаются хранимых на нём данных.
Connect to Synology NAS via SSH
Now that you have the SSH client installed and have the Synology NAS prepared, you can establish a secure remote connection with your Synology NAS.
In this example the SSH client on Windows is used, but it should work similarly in the Terminal application on macOS or any other SSH client.
Using the command
You can use the SSH client by running the command. This works in either a PowerShell window or a Command Prompt window, so use whichever you prefer.
To quickly open a PowerShell window, right-click the Start button or press Windows+X and choose “Windows PowerShell” from the menu.
To view the syntax of the command, just run it without arguments.
As you can see there are quite a few options, but the most important are:
This command works the same as connecting to an SSH server via the command on other operating systems like macOS or Linux. Its syntax, or command line options, are the same.
For example, to connect to an SSH server at xxxxxx.synology.me with the username “proxima”, you’d run:
By default, the command attempts to connect to an SSH server running on port 22, which is the default. However, you may need to connect to a server running on a different port. You do this by specifying a port with the switch. For example, if the server accepts connections on port 55555, you’d run:
Instead of the fully qualified domain name xxxxxxxx.synology.me you can also use the IP address.
As with other SSH clients, you’ll be prompted to accept the host’s key the first time you connect. You’ll then get a command-line environment you can use to run commands on the remote system.
Using PuTTY
As mentioned before, as an alternative you can use PuTTY as an SSH client.
After providing the connection type is SSH, host name is xxxxxxxx.synology.me and port number is 55555 you can connect to the Synology NAS by clicking Open. Don’t forget to save your configuration for future use.
After connecting to the server you can provide your username and password.
Table of contents
If you are not familiar with Synology and their DSM OS it would be good to know that when it comes to updates, there is only one official way, forward. Meaning you can’t downgrade DSM back to previous versions.
Now, this is not entirely true as there was an unofficial way to downgrade that is still valid but I can’t stress enough how much this is NOT officially supported, and that you should do this only if absolutely necessary.
DISCLAIMER: the method you will follow below is unofficial not supported by Synology in any way. Any problems that you might have or negative outcomes are your responsibility and your alone. The author of this article will take no part in being accountable for these actions.
️
WARNING: Before moving forward be sure to use your NAS DSM installation when needed and not the one in example! If you end up using the wrong one and do not get blocked by the device itself, you will end up not being able to boot up your NAS! Download the correct version from Synology Download Center page.
Главная особенность Synology: собственная операционная система
Рабочий стол операционной системы DSM 7.0.
Технически DS220+ удивительно сбалансирован для своих задач. Но технические характеристики – только затравка. В случае с домашними серверами очень многое решает операционная система.
Многие годы специалисты Synology работают над собственной модульной ОС DiskStation Manager на основе Linux с браузерной оболочкой, которая, по факту, и является их основным продуктом (с учетом модификаций для роутеров и стоек).
Модульность позволяет добавлять с каждым релизом новые функции. И не только: включать и отключать дополнительные возможности так становится проще, а во время неактивности их нельзя использовать в качестве бекдора.
Интерфейс DSM очевиден и удобен любому пользователю, даже ребенок справится и с настройкой, и с постоянным использованием.
Upgrading Home Assistant
One of the great things about Home Assistant is their rapid development time. There’s usually a new release of Home Assistant out every 2 weeks. Which is very impressive.
When it comes time to upgrade your version of Home Assistant, we need to login via SSH again. This time we’ll want to do the following.
- docker stop home-assistantStop Home Assistant from running.
- docker rename home-assistant home-assistant-oldWe’ll rename our current Home Assistant container to something memorable. This way, if there’s an issue with the new version of Home Assistant it’s easy to roll-back.
- docker pull homeassistant/home-assistantTell Docker to fetch the latest version of Home Assistant.
- docker run —name home-assistant —restart=always —net=host -itd -v /volume1/Shared/docker/homeassistant/config:/config homeassistant/home-assistantRe-run the command we used to build Home Assistant in the first place. (Command above is if we didn’t use Z-wave)
1 – отключаем учетку Admin и настраиваем политику паролей
По умолчанию на NAS Synology отключен терминальный доступ, а веб-интерфейс вынесен на порт 5000. Чтобы защититься от подбора пароля администратора, первым делом отключаем учетную запись admin/administrator, присваивая админские функции вновь созданному пользователю. В настройках пользователя можно задать политику для пароля, хотя настроек по умолчанию (восемь символов разного регистра + цифры + спецсимволы) будет достаточно.
NAS может интегрироваться не только в доменную службу Domain/LDAP, но и выступать как единое средство аутентификации, чтобы пользователь мог логиниться в другие приложения через Synology, как это сделано через Facebook и Google на различных веб-сайтах. Такой подход позволяет централизованно хранить учетные данные пользователя и снизить область атаки для похищения логина/пароля, даже если брешь присутствует в других сторонних приложениях.
Исправление разрешений общих папок проектов для контейнера
Теперь вам нужно подключиться к контейнеру Docker по SSH. s01 и исправьте разрешения для вашего Проекты Общая папка.
Вы можете использовать SSH в контейнере Docker s01 со своего компьютера с помощью следующей команды:
$ ssh -p 2222
ПРИМЕЧАНИЕ: Здесь, Шовон — имя пользователя для входа в контейнер Docker. 192.168.0.110 это IP-адрес вашего Synology NAS и 2222 — номер перенаправляемого порта контейнера Docker. Для вас все будет иначе. Так что не забудьте заменить его теперь своим.
Когда вы подключаетесь к контейнеру Docker s01 впервые вы увидите следующее приглашение.
Печатать да и нажмите .
Введите пароль для входа (секрет, в моем случае) вашего контейнера Docker s01 и нажмите .
Вы должны войти в контейнер Docker s01 через SSH, как видно на скриншоте ниже.
Чтобы изменить владельца и группу всех файлов и папок вашего Проекты общая папка для пользователя и группы контейнера Docker s01, выполните следующую команду:
$ sudo chown -Rfv $ (whoami): $ (whoami) ~ / проекты
ПРИМЕЧАНИЕ: Я установил Проекты общая папка в ~ / проекты папка контейнера Docker s01. Возможно, вы установили его где-нибудь еще. Итак, с этого момента не забудьте заменить путь к каталогу своим.
Владелец и группа всех файлов и каталогов Проекты общая папка должна быть изменена на пользователя и группу контейнера Docker. s01.
Теперь установите правильные разрешения для Проекты общая папка, смонтированная в ~ / проекты папка контейнера Docker s01 с помощью следующей команды:
$ sudo chown -Rfv 775 ~ / проекты
Правильные права доступа к файлам и каталогам для Проекты общая папка должна быть установлена.
Можно доверить любые тайны
Безопасность хранилищ Synology – немаловажная особенность всех продуктов компании. Поэтому в DSM 7.0 появился ряд дополнительных функций, которые понравятся не только сетевым параноикам.
Обширные возможности администрирования и раньше позволяли владельцам NAS этого бренда создавать сложные конфигурации пользователей с определением доступа к разным файлам: не только владелец мог скрывать что-то от других, но и подключенные члены семьи или сотрудники офиса легко запрещали доступ своей информации.
Теперь в прошивке появилась двухфакторная аутентификация, и не простая.
Первый вариант использует фирменное мобильное приложение, при входе через которое с мобильного телефона NAS спрашивает только логин. Второй дополняет учетную запись данными физического устройства – USB-ключа, сканера отпечатка пальцев или образа, переданного через Windows Hello.
Есть и другие приятные возможности. С DSM 7.0, Synology DS220+ отлично справляется с ассиметричным шифрованием файлов на лету. Без ключа брутфорсом не возьмешь.
После выпуска DSM7.0, Synology анонсировала и масштабное расширение платформы С2 – автономная облачная платформа доступна абсолютно для всех пользователей, ведь для использовать С2 не требуется наличие систем NAS. Расширение произошло за счет добавления новых служб таких как C2 Password и C2 Transfer.
C2 Password — это не просто генератор паролей, он имеет встроенную поддержку безопасного хранения файлов, общего доступа и множество других функций. С C2 Password, ваши данные всегда защищены от несанкционированного доступа благодаря использованию современных стандартов безопасности. Бесплатный план для C2 Password уже доступен.
С помощью облачного решения C2 Transfer можно осуществлять защищённую передачу файлов, на лету добавлять водяные знаки, запрашивать у получателя учетные данные или секретные коды или устанавливать срок жизни ссылки.
DSM 7.0 имеет встроенную систему проактивной защиты хранилища, самостоятельно определяя сетевые атаки и распознавая реальные угрозы. NAS без участия пользователя блокирует доступ от маркированных нежелательными источников, умеет определять трояны, вирусы и программы-вымогатели.
Сетевые атаки так же успешно распознаются DS220+ самостоятельно, как и подозрительные попытки входа, брутфорс или DDoS. А при необходимости администратор может воспользоваться консолью управления, чтобы настроить ограничения доступа по любым сетевым параметрам.
Совет 6: установите дополнительные опции защиты DSM
В пункте Панель управления — Безопасность можно установить некоторые дополнительные параметры, чтобы защитить учетные записи пользователей.
Автоматическая блокировка
На вкладке Защита можно активировать автоматическую блокировку IP-адреса клиента в случае многократного неправильного ввода пароля в течение определенного промежутка времени. Также можно добавить список разрешенных/запрещенных IP-адресов, чтобы предотвратить атаки методом грубой силы или отказа в обслуживании (DoS).
Число попыток следует выбирать, исходя из вашего окружения и типа пользователей. В большинстве случаев подключение к интернету сети дома или офиса осуществляется через один внешний IP-адрес, который может быть динамическим и меняться при повторном подключении.
Защита учетной записи
Если с IP-адреса будет зарегистрировано предельно допустимое число неуспешных попыток входа, то он будет заблокирован. Защита учетной записи обеспечивает блокировку уже на уровне учетной записи.
На вкладке Учетная запись можно включить Защиту учетной записи, причем разделить настройки для доверенных и недоверенных клиентов. Учетная запись будет блокироваться после определенного числа неудачных попыток входа. Что усиливает защиту DSM и уменьшает риск взлома учетной записи методом грубой силы с распределенных источников.
Включите HTTPS
С активированной поддержкой HTTPS можно защитить сетевой трафик между Synology NAS и подключенными клиентами, уменьшая риск прослушивания и атак методом «человек посередине».
Следует перейти в Панель управления — Портал для выхода — DSM, после чего выставить галочку Автоматически перенаправлять подключение HTTP на HTTPS для настольного ПК DSM. Порт по умолчанию https составляет 443, а в случае обычного протокола http — 80. Поэтому если имеются настройки брандмауэра, то их следует обновить.
Для опытных администраторов: настройте правила брандмауэра
Брандмауэр является виртуальным барьером, фильтрующим сетевой трафик от внешних источников по заданным правилам. В пункте Панель управления — Безопасность — Брандмауэр можно настроить правила, блокирующие доступ к тем или иным портам. Например, можно разрешить доступ к веб-интерфейсу только с IP-адреса компьютера администратора.
Installing Home Assistant without Z-wave
If you don’t want to run Home Assistant and use a USB Z-wave radio, then we don’t need to add any USB devices to our container. From your SSH window, run the following command
Run Home Assistant Docker without Z-Wave (DSM 5)
docker run —name home-assistant —restart=always —net=host -itd -v /volume1/Shared/docker/homeassistant/config:/config homeassistant/home-assistant
|
1 |
docker run —name home-assistant —restart=always —net=host -itd -v /volume1/Shared/docker/homeassistant/config:/config homeassistant/home-assistant |
Run Home Assistant Docker without Z-Wave (DSM 6)
sudo docker run —name home-assistant —restart=always —net=host -itd -v /volume1/Shared/docker/homeassistant/config:/config homeassistant/home-assistant
|
1 |
sudo docker run —name home-assistant —restart=always —net=host -itd -v /volume1/Shared/docker/homeassistant/config:/config homeassistant/home-assistant |
Let’s break this command down a bit.
docker run tells Docker to run a container with the parameters we’re parsing.
—name home-assistant The name flag will allow us to easily identify which container is running Home Assistant. This is useful if you use the Docker control panel from the Synology DSM, or when we need to do some commands against the container (like starting, stopping etc)
—restart=always This is a powerful and handy flag to set, especially for Home Assistant. This will tell Docker to keep trying to re-start Home Assistant if it crashes. So, if you’re editing a new automation and make a YAML syntax error (which you will do), you won’t need to open up SSH again to get Home Assistant started once you fix the problem. This is one of the flags you can’t set when using the Docker DSM UI.
—net=host Another important and powerful flag. We need to make sure Home Assistant has full access to our local network. We’ll need this for network discovery to work. This will allow Sonos, Hue, Plex etc to be discovered on the network automatically. This is one of the flags you can’t set when using the Docker DSM UI.
-itd This is actually three commands in the one. The important one is d. This tells Docker to run in detached mode. Once Docker runs the container, our SSH session is returned to us. If we don’t specify this, we’ll see the output from Home Assistant in our SSH console. Also import is the t, which tells Docker to tag the container for future use.
-v /volume1/Shared/docker/homeassistant/config:/config Here we’re creating a folder on our NAS to keep the Home Assistant configuration files. You can place it in any folder you like. I’ve chosen here to place it in a folder called Shared, which I can access from my local network easily. Whatever you choose to use, the folder must exist before you will be able to start Home Assistant. If you want to use the same folder as I did above, you can create it by running
mkdir-p/volume1/Shared/docker/homeassistant/config
homeassistant/home-assistant Finally this tells Docker which container to lookup on DockerHub.
Once we run this command, Docker will begin to start downloading all the files Home Assistant needs, such as the operating system, Python, and Z-wave.
Once everything has been installed (it could take some time the first go around), you should be able to access Home Assistant at the IP address of your NAS. For example, my NAS is at 192.168.1.3, so I can access Home Assistant by going to http://192.168.1.3:8123. The last part of the address tells the browser to connect to port 8123, which Home Assistant listens to.
Troubleshooting
Usually, the above steps are enough to make it work. But my NAS still stubornly asked me the password.
I eventually found a forum post which has an interesting tip:
But they also mention the error: which I wasn’t seeing.
I decided to try the command:
Then when I ssh’d into my server, the debug session showed the following:
There I could indeed see the error. The forum topic’s poster states the actual problem:
means:
- owner is allowed to execute (1) + write (2) + read (4) = 7
- group is allowed to execute (1) + read (4) = 5
- everyone is allowed to execute (1) + read (4) = 5
That makes me wonder what the default permissions are for this folder. A check with shows:
Full permissions for everyone.
Solution:
And then, as if by magic, everything works correctly and I get logged in using the key.
Thanks to «lvx» for this post: !
Folder Structure
For this example we’re going to make use of the share called .
On the host (Synology) terminal you will need to add before it. So
The folder has sub-folders for and and each of these have sub-folders for , and downloads to keep things neat. The folder has nicely named , and sub-folders, this is your library and what you’d pass to Plex, Emby or JellyFin.
These subfolders you need to create your self.
I’m using lower case on all folder on purpose, being Linux is case sensitive.
Bad path suggestion
The default path setup suggested by some docker developers that encourages people to use mounts like , , or is very suboptimal and it makes them look like two or three file systems, even if they aren’t (Because of how Docker’s volumes work). It is the easiest way to get started. While easy to use, it has a major drawback. Mainly losing the ability to hardlink or instant move, resulting in a slower and more I/O intensive copy + delete is used.
Breakdown of the Folder Structure
Torrent clients
qBittorrent, Deluge, ruTorrent
The reason why we use for the torrent client is because it only needs access to the torrent files. In the torrent software settings, you’ll need to reconfigure paths and you can sort into sub-folders like .
=>
=>
Usenet clients
NZBGet or SABnzbd
The reason why we use for the usenet client is because it only needs access to the usenet files. In the usenet software settings, you’ll need to reconfigure paths and you can sort into sub-folders like .
=>
=>
The Starr Apps
Sonarr, Radarr, Readarr and Lidarr
Sonarr, Radarr, Readarr and Lidarr gets access to everything using because the download folder(s) and media folder will look like and be one file system. Hardlinks will work and moves will be atomic, instead of copy + delete.
=>
=>
Media Server
Plex, Emby, JellyFin and Bazarr
Plex, Emby, JellyFin and Bazarr only needs access to your media library using , which can have any number of sub folders like Movies, Kids Movies, TV, Documentary TV and/or Music as sub folders.
=>
=>
Don’t forget to look at the Examples how to setup the paths inside the applications.
Create the needed subfolder
Here we will create the needed subfolders for your media library and also for your preferred download client.
If you use both then run both commands
If you use torrents
Appdata
Your appdata will be stored in
These sub folders you need to create your self. (This is a limitation of the Synology)
We’re going to do this in Putty or a similar program.
You can add your own sub folders for your download client(s) using the command above, by adding the name to the command.
So your appdata folder will look like this.
9 – защита Data at Work
Ранее мы достаточно защитили все собственные сервисы Synology, запускаемые на NAS, но теперь пришло время позаботиться о сторонних программах, которые вы можете перенести в гипервизор Virtual Machine Manager. В NAS, построенных на базе процессоров Intel, сохраняется опасность выполнения эксплойтов Meltdown и Spectre, благодаря чему зараженная виртуалка может получить доступ к данным в памяти другой виртуальной машины. Для предотвращения такой возможности компанией Intel внесены изменения в микрокод процессора, серьезно замедляющие операции случайного чтения с дисковой подсистемы.
В Synology DSM защита от Meltdown и Spectre по умолчанию выключена, поскольку даже далеко не каждому гипервизору она требуется, а на скорость влияет ощутимо. Если вы планируете дать возможность пользователям запускать в виртуальных машинах, хостящихся на Synology, собственный код, то проследуйте в панель управления, в закладку Security – Advanced, и включите защиту от Meltdown и Spectre. Если вы точно знаете, что никаких сторонних программ никто в пределах виртуалок запускать не будет, можете этого не делать.