File Server Linux professionale

File Server Linux

Tipologia: Server Linux Professionale per Archiviazione e Cloud Privato

OS: Debian Linux

Piattaforme: Nextcloud, Samba

GDPR Compliance

Il sistema è completamente GDPR Compliant, i dati sono archiviati sul server privato che è protetto da avanzate misure di sicurezze che annullano quasi totalmente il rischio di Data Breach

HPE ProLiant MicroServer G7 N54L, con CPU dual-core da 2.2 GHz, 2 GB RAM ECC DDR3, SSD MLC Transcend 32 GB per l'OS e 3 HDD Western Digital Red 2 TB in RAID 5 per i dati

Il sistema è stato progettato per uno studio commercialista con una doppia esigenza:

  • archiviare in sicurezza tutti i files dello studio per proteggerli da virus e cryptolocker
  • accedere in sicurezza da fuori dello studio ad alcuni files archiviati su un cloud privato

Per soddisfare queste esigenze si è deciso di utilizzare un HP N54L e di upgradarlo per poter installare fino a 5 dischi, è stato quindi installato un BIOS che sblocca la velocità SATA della porta dedicata all'unità ODD ed al posto di quest'ultima è stato installato un cassetto per Hard Disk da 3,5". Nel cassetto frontale da 3,5" è stata quindi installata una SSD MLC con un apposito adattatore 2,5" to 3,5", dedicata al Sistema Operativo Debian. Negli alloggiamenti inferiori sono stati installati tre Hard Disk configurati in RAID 5 dedicati all'archiviazione dei dati, un alloggiamento è rimasto vuoto in modo da poterlo utilizzare in futuro per espandere il RAID.

Il file system è completamente criptato e configurato secondo questo albero:

sda
|__ sda1                   /boot
|__ sda2
|__ sda5
|    |__sda5_crypt       /
|__ sda6
    |__sda6_crypt        [SWAP]

sdb
|__sdb1
    |__md0
        |__md0_crypt    /media/data
        
sdc
|__sdc1
    |__md0
        |__md0_crypt    /media/data
        
sdd
|__sdd1
    |__md0
        |__md0_crypt    /media/data

Il server è installato in rete in modalità headless, senza monitor e tastiera, è stato quindi programmato affinché all'avvio basti inserire un'apposita unità USB per decriptare il file system criptato ed avviare il sistema. L'unità USB deve avere una precisa etichetta e deve contenere un'apposita chiave di decriptazione in un preciso percorso. Una volta avviato il sistema è possibile rimuovere in totale tranquillità l'unità USB. In caso di necessità, se non dovesse essere possibile usare l'unità USB perché andata persa o perché corrotta, il server è stato configurato affinché sia possibile collegarlo a monitor e tastiera per sbloccare il file system digitando una password. Senza l'unità USB di sblocco e senza la password è impossibile decriptare il file system, avviare il sistema ed accedere ai dati su di esso archiviati.

Il servizio di archiviazione locale accessibile esclusivamente dall'interno della rete locale viene erogato tramite Samba, vi si accede tramite username e password ed ogni utente ha accesso ad un proprio spazio personale e ad uno spazio condiviso con tutti gli utenti.

Il servizio di cloud privato accessibile da qualsiasi parte del mondo viene erogato tramite Nextcloud, vi si accede tramite username e password ed ogni utente ha accesso ad un proprio spazio personale.

Particolare attenzione è stata prestata nella progettazione della strategia di backup ed il server è stato dotato di due meccanismi per il backup dei dati archiviati con Samba è Nextcloud:

  • Un sistema di backup incrementali automatici sviluppato con rsnapshot duplica i dati in una zona del file system ad accesso limitato, in questo modo i dati sono protetti da attacchi informatici (virus o cryptolocker) e da errori umani. Il backup incrementale nella zona ad accesso limitato viene eseguito automaticamente ogni due ore e viene conservato una copia di tutti i backup eseguiti ogni due ore nelle ultime 24 ore, una copia di ogni giorno degli ultimi 7 giorni, una copia di ogni settimana delle ultime 4 settimane ed una copia di ogni mese degli ultimi 3 mesi.
  • Un sistema di backup parzialmente automatico sviluppato con rsync duplica i dati su un unità USB esterna. Collegando al server un'unità USB con una specifica etichetta ed un specifico percorso di archiviazione, il sistema avvia in automatico un backup incrementale copiando i dati sull'unità USB esterna ed invia una notifica via email al termine dell'operazione per permettere di rimuovere in sicurezza l'unità USB.

La sicurezza del server è garantita da diversi livelli di firewall (iptables, modsec, fail2ban) e da diversi certificati (ssl, ssh). Nessuna persona non autorizzata può accedere al server, ogni accesso non autorizzato viene bloccato e l'ip sorgente viene bannato.

Il server è configurato con un sistema di Monitoring/Alerting che controlla in tempo reale che tutto l'hardware ed il software funzionino correttamente ed invia un email al proprietario in caso di malfunzionamenti.

Il server è protetto da un UPS ed è in grado di rilevarne il livello di carica in modo da spegnersi correttamente in caso di mancanza prolungata della corrente.

La connessione è fornita da un ADSL Tim che offre una velocità di Download pari a 7.55 Mbit/s ed una velocità di Upload pari a 1.08 Mbit/s.