数据安全
- 网络隔离依然是家庭homelab中有效的安全手段,非必要尽量不对外服务。
- 我同意upnp是一个毒瘤,对于有homelab或者nas的家庭网络建议直接关闭upnp。即便不关闭也要限制可以使用upnp的设备名单(白名单)。
- 对外暴露端口的机器尽量集中同一台机器上。只要对外开放端口的机器就可以认为数据不安全。
- 所有成品NAS安全堪忧1。
- 非数据安全的设备可以用于交叉备份,提高机器和空间利用率。但是备份需要加密。
Update(20240707):成品NAS又一个离谱的设定:所有非admin组的用户不能用ssh登录。群晖和威联通都是一样[^2],说是为了安全理由,认为普通用户不需要SSH。问题是SSH除了远程终端外还承载了加密信道、认证的功能,像RSYNC、GIT、BorgBackup之类的。如果你要用这些功能就必须给对应的用户管理组,这个看似“安全”的设定实际上引入更大的限制。
数据备份
备份原则
老生常谈,备份321原则。另外一些细节分析可以看韦易笑在知乎的回答:《如何长时间保存重要数据?》 有几点要补充我的看法:
- 光盘作为家用廉价的归档介质依然可靠。
- 但是需要考虑光盘的上下限,DVD时代的刻录盘由于成本问题,下限确实可以非常低。蓝光时代相对来说还能接受(我的经验)
- 压力对光盘的损坏不容忽视。不要堆叠到光盘薄,起码单独一个小盒子。
备份内容
- 自产内容(家庭照片、短片、笔记、源代码等)这部分的内容相当重要,而且独一无二。每个家庭每年能产出内容有限,执行321备份。
- 珍贵资源。来自互联网或者其他人分享,非独一无二。可以考虑本地双备份。
- 电影、电视剧(建议直接丢网盘:115、阿里、百度)。存储效率高,不会浪费,而且alist可以方便观看。
备份工具
- BrogBackup(待研究)
- Restic(待研究) 一个好的备份工具,需要考虑:
- 客户端加密
- 是否支持appendonly
- 是否支持分卷模式 2、3是能方便备份到光盘的前提
References