Omówienie WORM
WORM (Write Once, Read Many – zapis jednokrotny, odczyt wielokrotny) służy do zapobiegania modyfikacji zapisanych danych. Po włączeniu tej funkcji dane w folderach współdzielonych można jedynie zapisywać, ale nie można ich usuwać ani modyfikować, co zapewnia integralność danych.
Wraz z zaostrzającymi się przepisami dotyczącymi przechowywania informacji wiele krajów wymaga od agencji rządowych, instytucji finansowych i podmiotów świadczących usługi opieki zdrowotnej przestrzegania rygorystycznych regulacji w zakresie archiwizacji danych. Wiele z tych regulacji wymaga, aby systemy pamięci masowej nie pozwalały na manipoolcję zarchiwizowanymi danymi. Doprowadziło to do coraz powszechniejszego stosowania technologii WORM.
Dobrymi przykładami są zdjęcia, umowy, raporty finansowe, wiadomości e-mail, dane pracowników i inne ważne dokumenty. Po zapisaniu nie powinny być modyfikowane. W niektórych dziedzinach zawodowych konieczne jest analizowanie ogromnych ilości danych oraz rejestrowanie i śledzenie olbrzymich ilości danych w czasie rzeczywistym. Technologia WORM idealnie nadaje się do ochrony tych zapisów, aby nie zostały nadpisane i mogły być zachowane jako materiał referencyjny do przyszłego wykorzystania.
Aby sprostać wymaganiom bezpieczeństwa pamięci masowej w przedsiębiorstwach, serwery QNAP ES Series NAS zostały wyposażone w funkcję WORM, która pomaga personelowi informatycznemu chronić ważne informacje organizacyjne. Może to przynieść organizacjom istotne korzyści i pozwolić uniknąć ryzyka naruszenia odpowiednich przepisów dotyczących informacji.
Tworzenie folderu współdzielonego z funkcją WORM (Linux)
Architektura systemu
| Urządzenie | Opis |
|---|---|
| Jednostki pamięci masowej | QNAP ES Series NAS (wersja systemu QES 1.1.3) |
| Serwery | Instalacja VMware ESXi 6.0 |
| Maszyna wirtualna | Instalacja systemu Linux Ubuntu 16.04 w celu zamontowania folderu współdzielonego NFS WORM |
| Ustawienia adresu IP | Ponieważ host ESXi i serwer NFS w urządzeniu NAS łączą się i komunikują ze sobą za pomocą adresów IP, zaleca się ustawienie statycznych adresów IP zarówno na hoście ESXi, jak i na serwerze NAS. |
Lista ról serwerów i ustawień sieciowych
| Ustawienia sieciowe serwera | ||
|---|---|---|
| Rola | IP | Opis |
| Serwer ESXi A | 192.168.8.20 | Host VMware ESXi |
| Sieć danych | 10.10.8.20 | Port danych 10G w hoście ESXi |
| Maszyna wirtualna | 192.168.8.11 | Linux Ubuntu 16.04 |
| Ustawienia sieci pamięci masowej | ||
|---|---|---|
| Ustawienie | Wartość | Opis |
| IP zarządzania SCA | 192.168.8.40 | IP zarządzania kontrolera A |
| IP SCA Ethernet1 | 10.10.8.40 | IP portu danych 1 kontrolera A |
| IP SCA Ethernet2 | 10.10.12.40 | IP portu danych 2 kontrolera A |
| IP zarządzania SCB | 192.168.8.41 | IP zarządzania kontrolera B |
| IP SCB Ethernet1 | 10.10.8.41 | IP portu danych 1 kontrolera B |
| IP SCB Ethernet2 | 10.10.12.41 | IP portu danych 2 kontrolera B |
| Pool na SCA | Pool1 | Pool RAID6 na kontrolerze A |
Włączanie usługi NFS
Krok 1: Zaloguj się do QES.
Krok 2: Przejdź do „Panel sterowania” > „Usługi sieciowe” > „WIN / NFS” i kliknij kartę „Usługa NFS”.
Krok 3: Upewnij się, że opcja „Włącz usługę NFS” jest zaznaczona, a następnie kliknij „Zastosuj”.
Tworzenie folderu współdzielonego WORM w istniejącej poolu
Przed utworzeniem folderu współdzielonego z funkcją WORM należy wykonać poniższe kroki. W celu zakończenia procesu zapoznaj się z poniższym łączem.
- Dodaj serwer do białej listy QNAP ES Series NAS
- Utwórz macierz RAID i pool pamięci masowej
Łącze referencyjne:Konfiguracja magazynu danych VMware ESXi przez NFS z serwerem QNAP NAS klasy korporacyjnej ES
Krok 1: Zaloguj się do QES i kliknij „Foldery współdzielone”.
Krok 2: Przejdź do „Przestrzeń pamięci masowej”, kliknij „Utwórz” > „Nowy folder współdzielony”.
Krok 3: Wprowadź żądaną nazwę folderu WORM. W „Ustawieniach pamięci masowej” ustaw limit pojemności WORM i wybierz inne opcje odpowiednio do różnych scenariuszy zastosowań. Jeśli nie ma specjalnych wymagań, możesz po prostu wybrać wartości domyślne.
Krok 4: Znajdź „Ustawienia WORM” i kliknij „Edytuj”.
Krok 5: Włącz „WORM” i wybierz typ folderu WORM z menu rozwijanego.
Uwaga:
Typy folderów WORM:
- Enterprise: Foldery mogą być tylko zapisywane, ale nie można ich usuwać, modyfikować ani przywracać. Folder współdzielony można usunąć za pomocą QES lub poleceń CLI.
- Compliance: Foldery mogą być tylko zapisywane, ale nie można ich usuwać, modyfikować ani przywracać. Aby usunąć folder, należy przełączyć pool pamięci masowej w tryb offline i usunąć pool.
Krok 6: Ustaw „Opóźnienie blokady”. Gdy ta opcja jest włączona, plik dodany do folderu można modyfikować w okresie opóźnienia blokady. Po upływie tego czasu plik zostaje automatycznie zablokowany i niemożliwy do modyfikacji.
Jeśli „Opóźnienie blokady” jest wyłączone, plik nie staje się automatycznie typu WORM – należy ręcznie zmienić właściwość pliku na „Tylko do odczytu”.
Krok 7: Ustaw okres przechowywania folderu WORM. W tym przykładzie ustawiono go na 1 dzień, co oznacza, że ograniczenia WORM można usunąć dopiero po 1 dniu. Po ustawieniu okresu przechowywania kliknij „Zastosuj”, aby utworzyć folder WORM.
Folder WORM pojawi się na liście folderów współdzielonych.
Krok 8: Wybierz folder WORM i kliknij „Zarządzaj”.
Uwaga: Jeśli typ WORM jest ustawiony jako „Compliance”, opcja usuwania (w „Akcje”) jest niedostępna.
Folder WORM został utworzony i jest gotowy do użycia.
Funkcja folderu współdzielonego WORM w QNAP ES Series NAS
Architektura QNAP WORM
Po włączeniu QNAP WORM w folderze współdzielonym dowolne pliki/foldery w tym folderze mogą zostać ustawione jako „Immutable” (niezmienny) lub „Append Only” (tylko do dopisywania). Różnice są następujące:
| Opis | |
|---|---|
| Append Only | Można dodawać dane, ale nie można ich modyfikować, usuwać ani zmieniać nazw. |
| Immutable | Nie można dodawać, modyfikować, usuwać ani zmieniać nazw. |
Warunki wyzwalające QNAP WORM
| Opis | |
|---|---|
| Append Only | Puste foldery uzyskają status Append Only, jeśli zostaną ustawione jako tylko do odczytu. |
| Immutable | Jeśli folder zawierający dane zostanie ustawiony jako tylko do odczytu lub folder Append Only zostanie ponownie ustawiony jako tylko do odczytu, przejdzie w stan Immutable. |
Uprawnienia QNAP WORM
Poniżej znajduje się opis uprawnień QNAP WORM.
Stan WORM jest podobny do uprawnień odmawiających dostępu w ACL, ale występują pewne różnice. Główna różnica jest następująca:
- Jeśli folder korzysta z WORM, nawet użytkownicy z najwyższymi uprawnieniami („administrator" lub „root") nie mogą zmienić statusu WORM plików w nim zawartych.
- Jeśli katalog podrzędny (Child) wyzwala stan WORM, folder nadrzędny nie będzie mógł zostać zmieniony ani usunięty, i dotyczy to każdego poziomu folderu: dopóki stan WORM jest aktywny, folder nadrzędny nie będzie mógł zostać zmieniony ani usunięty.
- Po upływie okresu przechowywania folderu WORM uprawnienia „usuwania" i „usuwania elementów podrzędnych" zostaną automatycznie przyznane.
Szczegóły znajdują się w poniższej tabeli:
| Zapis danych (zmiana nazwy elementu podrzędnego) | Dołączanie danych (dodawanie elementu podrzędnego) | Usuwanie (usuwanie folderu, usuwanie elementu podrzędnego) | Zmiana nazwy | Zmiana nazwy folderu nadrzędnego | |
|---|---|---|---|---|---|
| NONE | ○ | ○ | ○ | ○ | ○ |
| AppendOnly | X | ○ | X, (po wygaśnięciu WORM ○) | X | X |
| Immutable | X | X | X, (po wygaśnięciu WORM ○) | X | X |
Montowanie folderu współdzielonego WORM w systemie operacyjnym Linux za pomocą NFS
Krok 1: Otwórz klienta Linux (w tym dokumencie jako przykład używamy Ubuntu 16.04).
Krok 2: Otwórz Terminal i wprowadź następujące polecenia, aby zainstalować pakiet wymagany dla klienta NFS.
# sudo apt-get update
# sudo apt-get install nfs-common
Krok 3: Ustaw lokalizację folderu współdzielonego WORM lokalnie, jak pokazano na poniższym rysunku. Jako folder współdzielony ustawiamy podfolder worm w /mnt.
- Otwórz Terminal w katalogu mnt
- Wprowadź następujące polecenie, aby utworzyć folder o nazwie „worm".
# sudo mkdir worm
- Wprowadź następujące polecenie, aby zamontować folder współdzielony NFS WORM. Adres NFS folderu współdzielonego WORM w przykładzie to 10.10.8.40:/share/worm, po pomyślnym zamontowaniu można zobaczyć, że /mnt/worm stał się folderem współdzielonym NFS WORM.
# sudo mount -t nfs 10.10.8.40:/share/ /mnt/worm
Weryfikacja folderu współdzielonego WORM
Przygotowanie
Krok 1: Otwórz Terminal w folderze „worm" i wprowadź następujące polecenie, aby przejść do trybu root
# sudo su
Krok 2: Utwórz dwa podfoldery w folderze współdzielonym WORM, jeden o nazwie „appendonlytest", drugi o nazwie „immutabletest", jako dwa różne typy katalogów WORM.
# mkdir appendonlytest
# mkdir immutabletest
Weryfikacja statusu Append Only
Krok 1: Ustaw folder „appendonlytest" jako tylko do odczytu (status WORM zmieni się na Append Only). Widzimy, że ten folder, jak pokazano poniżej, ma status tylko do odczytu.
# chmod a-w appendonlytest/
Krok 2: Weryfikacja Append Only
a. Wejdź do folderu „appendonlytest"
# cd appendonlytest/
b. Dodaj plik „test" w folderze „appendonlytest". Plik zostanie dodany, co jest zgodne z funkcją folderu Append Only umożliwiającą dodawanie nowych plików.
# touch test
c. Usuń plik „test", wyświetli się komunikat rm: cannot remove `test': Input/output error
Pliku nie można usunąć, co jest zgodne z funkcją folderu Append Only uniemożliwiającą usuwanie.
# rm test
Weryfikacja statusu Immutable
Krok 1: Wyzwól w folderze „immutabletest" stan Immutable
a. Wprowadź następujące polecenie, aby wejść do folderu „immutabletest"
# cd /mnt/worm/immutabletest
b. Dodaj nowy plik do „immutabletest" i wprowadź następujące polecenie
# touch test
c. Wróć do folderu nadrzędnego „worm"
# cd ..
d. W folderze „immutabletest" znajdują się pliki. Jeśli folder zostanie ustawiony jako tylko do odczytu, wyzwoli to stan Immutable i nie będzie można dodawać ani usuwać plików.
# chmod a-w immutabletest/
Krok 2: Weryfikacja Immutable
a. Wejdź do folderu „immutabletest".
# cd immutabletest
b. Dodaj plik „test2", wyświetli się komunikat touch: setting times of `test2': No such file or directory
Nie można dodawać plików, co jest zgodne z funkcją Immutable.
# touch test2
c. Usuń pierwotnie dodany plik „test", wyświetli się komunikat rm: cannot remove `test': Input/output error
Nie można usuwać plików, co jest zgodne z funkcją Immutable.
# rm test
Test resetowania uprawnień zapisu w trybie root
Krok 1: Otwórz Terminal w folderze współdzielonym worm i wprowadź następujące polecenie, aby przejść do trybu root:
# sudo su
Krok 2: Spróbuj zresetować uprawnienia zapisu folderu „appendonlytest", wprowadź polecenie, a wyświetli się błąd:
chmod: changing permissions of `appendonlytest/': Operation not permitted
Nie można anulować stanu tylko do odczytu nawet w trybie root
# chmod a+w appendonlytest/
Krok 3: Spróbuj zresetować uprawnienia zapisu folderu „appendonlytest", wprowadź polecenie, a wyświetli się błąd:
chmod: changing permissions of `immutabletest/': Operation not permitted
Nie można anulować stanu Immutabletest nawet w trybie root
# chmod a+w immutabletest/
UWAGA: Jeśli folder wyzwoli stan WORM, nawet jeśli jesteś użytkownikiem z najwyższymi uprawnieniami („administrator" lub „root"), pliku w folderze WORM nadal nie można zmienić ze stanu WORM
Wyzwalanie stanu Immutable dla wszystkich plików w folderze
Krok 1: Otwórz Terminal w folderze worm i wprowadź następujące polecenie, aby przejść do trybu root:
# sudo su
Krok 2: Utwórz folder „triggerall".
# mkdir triggerall
Krok 3: Dodaj osiem plików do folderu triggerall.
# cd triggerall/
# touch 1 2 3 4 5 6 7 8
Krok 4: Wróć do katalogu nadrzędnego i wprowadź poniższe polecenie, aby ustawić wszystkie pliki w folderze triggerall jako tylko do odczytu.
# cd ..
# chmod –R a-w triggerall/
Krok 5: Przetestuj usuwanie plików — jak pokazano poniżej, plików nie można usunąć, co oznacza, że wszystkie pliki zostały przełączone w stan Immutable (niemodyfikowalny).
# cd triggerall/
# rm 1 2 3 4 5 6 7 8