###### tags: `lsa` `ncnu` # Week 05 (2023/03/23) - Book mode: https://hackmd.io/@ncnu-opensource/book [TOC] --- ## Review 資訊安全 ### nftables - 在設定上比 iptables 更有效率 - 與 iptables 的差異 - 沒有預設的 table, chain - 一個 rule 可以執行多個動作 - inet 同時包含 IPv4 和 IPv6 - 安裝: `sudo apt install nftables` - 把 iptables 設定檔轉到 nftables - 輸出 iptables 設定 `sudo iptables-save > iptables.conf` - 把設定轉換並載入 nft 檔案 `sudo iptables-restore-translate -f iptables.conf > ruleset.nft` - nftables 載入設定檔 `sudo nft -f ruleset.nft` ## 備份 ### 備份是什麼 - 複製一份相同的資料 - 若是原本的資料遺失損壞，可以使用備份的這一塊資料 - 遺失或損壞的原因 - 硬體損壞 - 軟體有缺失 - 手殘 - 勒索軟體攻擊 - 用處 - 可以在資料遭受損害時還原檔案，恢復系統正常運作 - history - 1800 - punch cards - 1950 - 磁帶機 - 備份速度很慢 - 1960 - 第一台 HDD - 1970 - 軟碟 - 1982 - CD-R/RW and DVD - 1998 - SD card and usb flash drives - 2000 - Network Attoched Storage(NAS) - 2006 - Amazon EC2 and S3 for Cloud Storage - 2011 - CloudAlly Pioneers Automated Cloud-to-Cloud backup for Salesforce and Google Apps (Google Workspace) ### 怎麼樣才可以稱得上是好的備份 * 能還原的才可以算是備 * 可以保留這份檔案先前的版本 * 至少要有一份**異地備份** * 使用多種備份解決方案 * EX：on-site 和 off-site 使用的儲存媒體與技術不同 :::info ### on-site & off-site - 根據備份地區可以分兩種 - 本地備份 on-site - 異地備份 off-site #### on-site backup（本地備份） * 將資料備份於本地存放 * 常使用的儲存媒體技術：硬碟、 DVD/CD #### off-site backup (異地備份) - 將資料備份於異地 (至少距離 30 公里) - 常使用的儲存媒體技術：遠端 server 、磁帶 (放置其他地方) ::: * 可以進行測試還原，確保能正確還原 - 還原的時候可以有選擇地還原 - 有版本控制，可以選擇版本去還原到我們需要恢復到的時間點或系統狀態 * 備份檔案要可以打開並查閱 * 在備份前必須想到所有可能發生的危機，並且皆能有有效的解決方案 :::info 結論：備份的重點是要能夠回朔 > [name=BT] ::: ### 基本備份原則：3-2-1 原則 - 至少備份 3 份 - 至少要儲存於 2 種不同的儲存媒體 - e.g. 光碟、外接硬碟、USB、雲端儲存空間 - 至少要有 1 份異地保存 - e.g. 常使用雲端儲存空間 :::info World Backup Day (世界備份日) 3/31 * 是一個強調資料安全性與備份的日子 * 目的：了解資料在我們生活中日益重要的趨勢，來提高備份和資料保存意識 * 訂於 4/1 日以前，除了想引起注意，同時也想降低因愚人節被整而丟失資料的風 * 紀念日宣言: I solemnly swear to backup my importnt documents and precious memories on March 31st. * 調查顯示： * 21% 的人從未備份過 * 每分鐘 113 支手機被偷或是遺失 * 29% 的資料遺失案件是意外造成的 * 30 % 的電腦感染惡意軟體 * [官網](https://www.worldbackupday.com/en) ::: ### 如果不重視備份會發生什麼事？ - 勒索軟體 * 去年 10 月，根據趨勢科技調查顯示台灣企業： * 全球供應鏈的規模擴大 * * 61% 企業的供應鍊大部份是由資安防護較弱的中小企業所組成 - - 天災人禍 - kakao 通訊軟體去年10 月資料種新火災，癱瘓整個韓國日常生活： - 在韓過市佔率超過九成，影響整個韓國的通訊、電子支付、音樂、地圖等直接被中斷 - 所有資料在其他資料中心有備份，事故發生後公司內部也立即啟動因應措施 - 坦言考慮不周，雖然預先準備風險應應方案，但火災並不在預想中 - 南韓總統尹錫悅要求查明此次故障原因並擬定備份計畫 :::success #### 結論： 不管是企業還是每個人都應該要有備份的觀念 所謂天有不測風雲，人有旦夕禍福 應該要養成備份的習慣或是制定備份的計畫以及應變措施 否則當遇到真的危機時，真的就岌岌可危了，損失程度小則個人大則智國安危機 ::: ### 備份的類型 #### Full Backup (完整備份) * 完整複製一份資料 * 比起其他方式，資料備份所花的時間較長 * 復原資料較快 * 記憶體佔用空間大 #### Incremental Backup(增量備份) - 一開始會進行完整備份，之後只會備份與 **上一次備份** 的有差異的資料 - 記憶體佔用空間少 - 比起其他方式，資料備份最快 - 復原資料最慢 - 因為會需要和前一筆資料比對  > [圖片來源](http://diun69.blogspot.com/2020/12/blog-post.html) #### Differential Backup(差異備份) - 一開始會進行完整備份，之後只會備份與**上一次完整資料**有差異的備份 - 比起完整備份，資料備份花的時間較快  > [圖片來源]https://www.reneelab.net/incremental-backup.html) #### 備份方式比較 | | Full Backup | Diff Backups | Incremental Backup | |:--------:|:-----------:|:------------:|:------------------:| | 備份速度 | 慢 | 中 | 快 | | 復原速度 | 塊 | 中 | 慢 | | 佔用空間 | 最多 | 中 | 最少 | | 花費 | 貴 | 中 | 便宜 | #### 混合式備份 - 將上述三種備份方式交替組合，以此來將地單一備份方式的風險 - 結合各種備份方式的優點 - 三代等級： * 祖父(GrandFather)：每個月做一次完整被份，每個備份會被保存一年 * 父親：每個禮拜做一次差異備份，每一個備份會被保存一個月 * 兒子：每天做一次增量備份，每個備份會被保存一週 :::success GFS 原則中的**備份頻率**和**保存的時間**都是可以根據不同的情況和需求去做調整 ::: ### 備份的管理 #### 儲存媒體的技術 * 儲存媒體的技術也是備份時須考量的其中一項因素之ㄧ * 依據不同的儲存媒體的可存取性(Accessibility)與存取速度，分為以下三種儲存的技術： * Online * 在線式儲存 * 可馬上、快速存取的資料儲存類型 * 常可用於需快速讀寫頻繁的工作 * 例：HDD 可被視為 Online storage（再線是除存），因為此 HDD 以連接，打開並 * Nearline * 近線式儲存 - 介於 oneline and offline 之間 - 當前無法馬上存取，但之後可以清送存取資料的除除存類型 - 請求存取資料速度比 oneline 慢一點 - 例：MAID（大量空閒磁碟陣列） :::info #### MAID - 就像是一座塔裡面有很多硬碟，如果要從塔中抽取硬碟資料，硬碟是很多的碟片組成 - 如果偵測到碟片沒有被讀取就會停止動作，可以節省資源 - 特性適合備份使用，不需頻繁存取，只有備份或回復的時候才會去讀取 ::: * Offline * 離線式儲存不可以馬上存取、存取速度慢的資料儲存類型 * 舊型的儲存設備 * e.g. 需要手動定位和加載的異地儲存硬碟則被歸類為 Offline storage * 需要花更多力氣去存取這些檔案 #### 比較個儲存媒體 | | Online | Nearline | Offline | |:----:|:------:|:--------:|:-------:| | 速度 | 快 | 中 | 慢 | | 價格 | 貴 | 中 | 便 | | 壽命 | 短 | 中 | 長 | ### 資料儲存方式 1. DAS(Direct Attached Stroage) 2. NAS(Network Attached Storage) 3. SAN(Storage Area Network) #### DAS (Direct Attached Storage) - 直接連接式儲存 - 一種直接儲存設備與 Host (Server/PC) 有線連接的儲存方式 - 多種界面可以接設備與 Host 連接 - IDE, SCSI SATA :::info 以下是三種不同的硬體介面標準，負責硬體與電腦之間的資料傳輸 #### SCSI(Small Computer Systesm Interface) - 一開始的設計就是為了規範電腦系統與各種週邊裝置之間的連結而產生，用途比 IDE/ATA 要來得廣 - 可連接的裝置有硬碟、磁帶機、掃描器、CD、DVD、印表機 #### IDE(Integrated drive electronics) - 常將 IDE 稱為 ATA 界面 - IDE 指的是硬體驅動的技術規格，ATA 是硬體與電腦連接的介面規格 - 常用來作為 Floppy、硬碟與光碟機的連接介面 - 便宜 - 速度慢 - 不支援熱拔插 - 改名 PATA(Perral ATA) - 但還是常使用 ATA 這個稱呼 #### SATA(Serial Advanced Technology Attachment) - **S**erial **ATA** - 傳輸速率更快 - 電腦匯流排，主要用於電腦主機板上連接硬碟、光碟機 - 支援熱插拔 (可以在電腦運作時插上或拔除硬體) ::: - 優點： * 部署、設置簡單：直接將儲存設備以有線連接至主機即可，不需要有網路部署或硬體資料等等的設定 * 低維護 * 傳輸速度快，不受網路限制 * 相對便宜 - 缺點： - 有地區限制，擴展的設備一定需要連接主機，無法進行遠端存取 - 資料無法共享：DAS 的資料只能被直接連接的那台主機所存取 #### NAS (Network Attached Storage) - 網路式儲存裝置 - NAS 是一種專門用於提供網路儲存的儲存裝置 - NAS 通常是透過乙太網路、WIFI 連上區域網路 :::info #### LAN(Local Area Network, 區域網路) * 連接住宅、學校或辦公大樓有限區域內電腦的網路 * Ethernet(乙太網路)、Wifi 為LAN 中最常使用的技術 ::: - NAS 溝通需透過特定網路協定 * ex:TCP/IP、NFS、CIFS/SMB :::info ### NFS CIFS/SMB #### CIFS/SMB * 是一個位於應用層的網路系統協議 * 目的是為了在網路上的機器之間透過網路的方式來共享檔案 #### NFS - 一種分散是的檔案系統 - 目的是在網路上的 servers 之間都可透過網路的方式來共享檔案 ::: - NAS 負責 file server 的優點 - 提升整體效能，讓其他 Servers 可以發揮正常處理的效率 - 缺點： * 傳輸穩定性混受到網路流量控制 * 安全性：因可以透過網路存取，可能成為黑客或惡意軟體的目標 ### SAN (Storage Area Network) * 儲存區域網路 * SAN 是一個整個儲存網路 * 使用專屬的光纖 / 高速網路連接多個伺服器和儲存設備 * 溝通的協定：FC（光纖通道）、iSCSI * 提供共用的儲存及區，透過網路連結的方式可想資料給多部 Srever/Client 存取與使用 - 優點： - 傳輸速度快 - 跟 DNS 相比，提升資料可存取姓 - 適合大型資料資料庫 - 需要儲存空間時，允許配置多個儲存設備 - 高可用性 - 可用性: 系統或服務故障或異常時，仍能保持可使用的能力 - 較安全 - 因儲存區域與外界隔開 - 缺點： - 成本較高 :::info ### 補充光纖(Optical filter) - 是一種由玻璃或塑膠製成的纖維，利用光在這些纖維中以全反射原理傳輸的光傳導工具 - 利用光的特性： * 速度快 * 全反射原理ㄤ理論上不會漏掉(loss)任何一個訊號 - 具有傳輸速度快、距離遠、信號穩定等優點 - 長距離、高速路資料傳輸或通訊 - 常見類型 1. 多模光纖 * 光纖纖芯直徑比較大，可容納不同的傳輸模式(多條光束) * 常用於較短距離的高速傳輸 * 例如：LAN（區域網路）、SAN（儲存區域網路） 2. 單模光纖(Single-mode Fiber, SMF) - 光纖線新直徑比較小，只能容納一種的傳輸模式 - 常用於較長距離的高速傳輸 - WAN, 光纖通訊 3. 填充式光纖() - 芯為塑膠製成 - 適合短距離 - e.g. 家庭網路、汽車網路 - 成本較低，但傳輸距離較短，速率也較低 ### iSCSI( internet Smail Computer System Interface ) * internet SCSI * 是一個 Transport layer protocl * 電腦之間可利用網路 IP 來傳遞 SCSI 指令： * 藉由 SCSI 協定將 SCSI命令打包放置到要傳送的風包，因此當送達目的地端時，解讀封包後，遠ㄉㄨSCSI命令打包放置到要傳送的風包，因此當送達目的地端時，解讀封包後，遠端主機 ### HBA(host bus adaper) - 主機控制器是以電腦為主機系統，連接網路或儲存裝置的電腦硬體 - 該術語主要連接 SCSI、SAS 或 FC（光纖通道)裝置的擴充卡 ::: #### 比較 | | DAS | NAS | SAN | |:----:|:------:|:--------:|:-------:| | 傳輸速度 | 快 | 慢 | 快 | | 建置難易度 | 易 | 中 | 難 | | 資料是否共享 | 否 | 是 (同個 LAN 下的主機) | 是(有連結到 FC Switch 的主機) | | 價格 | 便宜 | 中 | 貴 | * DAS 適合小規模區域，價格相對較低，只能由單一設備存取。 * NAS 需要適合網路分享儲存的中小企業和家庭用戶 * SAN 適合大型企業或者需要高可用性和備援機制的場景，能提供高速儲存和伺服器同時存取的功能 ### 關鍵指標 RTO & RPO - 前提 - 公司日常的運作都非常仰賴這些伺服器的 ERP 相關系統，而服務斷線即代表公司核心業務無法正常執行，而每分每秒都是成本的耗損 - 管理者最大盲點「只要有備份就好」容易讓公司的備份沒有實質的意義 - 以管理層角度談備份時，需從這 RTP & RPO 這兩個指標來看 #### RTO (Recovery Time Objective) 復原時間目標 - 代表企業最多**能夠承受服務中斷多久** * 目標是為了要確定災害人禍發生時，系統需要花多少時間資復原資料 * 而公司該怎麼評估？ * 重點取決於公司能忍受多久 * 當中除了員工抱怨之外，所帶來的商業損失（因斷線導致客戶與你的交易沒辦法完成）、員工上班的系統沒辦法使用（人事成本平白的消耗）這些都是可以量化的成本項目 - 成本量化到分析：規劃的重點在於分析多少損失是公司可以忍受、願意投入多少成本讓風險控制在可以忍受的範圍。 - ex - 電商住平台很重要，隨時都要服務客戶，因此 RTO 設定為 1 小時 - 文章分享平台，沒有立即需要服務的需求，因此 RTO 可以較寬鬆，設定為 1 天 #### RPO ( Recovery Point Object ) 復原點目標 * 代表公司可以接受損失多久以前的資料 * 今天當公司的系統資料損壞後，透過還原機制可以還原到多久以前的資料？ * 目標是提前確保資料恢復以及備份功能到為，以最大限度的減少事件可能都失的資料量 * ex：研發密集的產業、線上電商等等隨時都會有資料的串流，因此每一筆資料都非常重要，對於資料損失的容忍度一定是非常低的 * ex：每分中做一次增量備份 RPO = 5 min :::success 先訂出 RTP、RPO 分析公司能承擔的對應風險，才能評估要花多少資源投資，在成本與效益之間取得平衡，發揮備份的實質意義 ::: ### 資料庫備份的方式 依據資料庫的備份方式：可將其分為 HOT BACKUP #### Hot backup (熱備份) * online(dynamic) backup * 資料庫在線備份時，允許用戶們進行的存取 - 大部分資料庫選擇的備份方式 - 若資料在備份的過程中被修改，生成的備份可能與最終資料狀態不同 - 適合於服務不可隨意被中斷的情況 #### Warm Backup (溫備份) - 備份資料庫已安裝成與當前使用的資料庫相同（或相似）的資料庫和網路執行環境 - 資料庫已開機但未開始任何操作或不時打開來備份更新的資料。 #### Cold Backup (冷備份) * offline backup * 資料庫處於**停機**與**不允許存取**的時候備份，避免資料在備份的過程中被修改或覆蓋 * 不適用於需要不斷提供的系統 ### disaster recover site(DR site) 災害復原站 * disaster + recovery = 災害 + 復原（服務） * 代表在 **災害** 發生時，是一個能夠將 data center（資料中心）的資料即時恢復，並且復原 IT 設備服務的操作手法與架構 * 分為以下三種： * hot site * 擁有與主站點同樣完整的服務 * 資料庫與主站同步，且服務一直都在 * 當災害發生時，可直接支援主站點的服務該站點配備了所有必要的硬碟、軟體以及網路連接 * 最貴 - warm site - 介於 Hot site 與 cold site 之間 - 資料庫與主站同步，但服務是沒有上線的 - 災害復原速度慢於 Hot Site ： 主機重新啟動需要時間 - cold site - 平常是關機狀態沒有運作，有問題才啟動 - 停機時間： RPO + RTO 的最大值 + 服務啟動的時間 - 定期的資料會備份過去 - ex:可能一個月備份一次完整備份過去、一個禮拜備份一次差異備份、一天備份一次增量備份 - 災害復原速度最慢：災害發生時才進行軟體或硬體設備的安裝、使用備份檔案進行復原，所以需要較長的時間 - 最便宜 | | hot | warm | cold | |:--------------------------------:|:----:|:----:|:----:| | 設備完整度 | 最高 | 中間 | 最低 | | 復原速度 | 快 | 中 | 慢 | | 資料完整度 | 高 | 高 | 低 | | RTO (可以接受服務中斷多久) | 小 | 中 | 大 | | RPO (可以接受損失多久之前的資料) | 小 | 中 | 大 | | Cost | 高 | 中 | 低 | ### 磁碟陣列：RAID - 問題 - 單顆硬碟掛掉資料就消失了 - 透過此虛擬化技術 - 將多顆硬碟組橫成一個儲存設備 - 資料方便存取 - 容量增加 - 提昇讀寫性能 - 容錯、可靠性提昇 - 別稱 - virtual disk、logical disk - 因 OS 只會將此多顆磁碟組合視為一個磁碟 #### 分類 - 表達儲存空間的方式 ##### Raid 0 - 至少兩台磁碟組成，每台都用來儲存資料 - 資料以 round-rubin striping 的方式進行資料儲存 - 資料沒有備份 - 優點 - 速度快：資料分散在不同的硬碟，可以同時找，讓讀寫頭一次讀取最上層，一次可以提昇 N 倍的資料量 - 缺點 - 沒有容錯性 - 資料毀損時，無法復元 - no checksum，無法依據效驗碼恢復資料 ##### Raid 1 - 特性 - 又稱 Mirror disk - 把一台disk 資料完整複製到另外一台 disk - 至少兩台磁碟組成，一半的磁碟儲存資料，一半做備份 - 寫入時，同時儲存及備份 - 讀取時，資料與備份都可以讀 - 優點 - 復原資料容易 - 容錯 : 允許其中一顆磁碟壞掉 - 因兩台資料相同，比單顆磁碟讀取資料的速度快 - ex: 左邊讀 $A_1$ 右邊讀 $A_2$ - 缺點 - 佔用空間大 - 成本叫高 - 佔用儲存空間大，需要不段提昇儲存空間，購買新硬碟 ##### Raid 2 - 特性 - Raid 0 改良版本 - 在資料中加入 ECC - Bit-level stripping - 大部分的 RAID2 使用 Hamming code 進行錯誤更正 - 全部硬碟會分為兩種 - 寫入資料時，先算出 data 得 ECC 在將data 以 bit 切顆寫入硬碟後 - 優點 - 具有偵錯能力，可以根據 hamming code 還原損壞的資料 - 缺點 - 使用空間效率差 - 占用儲存空間大 :::info ###### Hamming Code - 特性 - 1950 由美國數學家 Richard Wesley Hamming 發明 - 電信領域的一種偵錯碼，在傳輸的訊息中插入驗證碼 (Parity)，用以偵測並更正位元錯誤 - Hamming code 要多長 - formula: $2^k >= d + k + 1$ - d: data 長度 - k: hamming code 長度 ::: ##### Raid 3 - 特性 - 以 byte 作為單位的切割，只有最後一台負責存入 Parity - 寫入新資料後會重新計算 Parity - 至少會有 3 台磁碟所組成 - 2 台可作為儲存資料所使用，1 台負責儲存 Parity 值 - 儲存空間 = N - 1 台磁碟 （Ex. 1 TB * 3 = 2TB 可用部份） - 優點 - 佔用儲存空間率比 RAID 2 低，因不論幾台磁碟，皆只需一台存放 Parity - 容錯: 最多允許一台磁碟的資料遺失 - 寫入速度比 RAID 2 快: Parity 運算簡單快速於 ECC - 缺點 - 存取資料大，影響存取速度：會花很多時間在資料片段的尋找 > Access time = Seek t + Latency t :::info ###### Parity - 運算公式 XOR 將同一排的位元相加後，除 2 取餘數 - 實際操作方式: 若其中一台磁碟有資料遺失，可透過其他台磁碟的值還原 ::: ##### Raid 4 - 特性 - 優點 - 相較於 RAID 3，存取速度教快 - 缺點 - 單一 Parity 磁碟，可能會造成 Bottleneck - Bottleneck: 每次只能有一個人使用這台 Parity Disk，其他人要排隊使用 ##### Raid 5 - 特性 - 至少三台磁碟組成 - 採用 Disk striping （硬碟分割）技術 - Parity 為 block level - Parity 值平均分散存在不同的硬碟 - 優點 - 讀寫速度比 RAID 3 、RAID 4 快 - 因 RAID 5 將 Parity 值散在不同磁碟 - 缺點 - 較 RAID 3 、RAID 4 實現複雜 ##### Raid 6 - 特性 - 與 RAID 5 不同之處在於磁碟之間會儲存兩種不同運算方式的 Parity 值 - 至少四台磁碟組成 - 除存空間 - N - 2 - 優點 - 容錯性提升, 因多一種新的 Parity 演算法 - 缺點 - 相較於 RAID5 - 佔用儲存空間多一台磁碟 - 讀寫速度慢：因讀寫時需要多計算存取一種 Parity 值 > 每個種類的比較表可以去講義看 #### Summary - 以兩個面向來看，資料**寫入量**與**運算複雜度** - 寫入量：若依據所有硬碟的總寫入量與原始檔案大小的比值來看的話 - RAID1 > RAD 2 > RAID 6 > RAID 3 = RAID 4 = RAID 5 > RAID 1 - 運算複雜度 - 綜合花費最多的時間與空間成本來評估 - RAID 0 > RAID 1 > RAID 5 > RAID 6 > RAID 4 > RAID 3 > RAID 2 #### Hybrid RAID 為了滿足更好得性能或告高的使用需求，綜合以上不同的 RAID，延伸出以下模式 ##### RAID 10 - 先使用 RAID 1 在使用 RAID 0 - 先做鏡像(mirror)再做分割(stripping) - 至少四台磁碟 ### 備份的資料級別 - file - filesystem - disk #### what is infroamtion database - information(資訊) 代表的是有經過資料處理的結果 - data processing(資料處理) - 將資料轉化成資訊的一連串處理過程 #### mysqldump - isntall mysqldump - `apt install mysqldump` - create database ```sql CREATE DATABASE NCNU; USE NCNU; CREATE TABLE student(name VARCHAR(20), stuID INT(20)); CREATE TABLE teacher(name VARCHAR(20), stuID INT(20)); INSERT INTO student VALUE('shaila', '1083211111'); INSERT INTO teacher VALUE('teacher', '1083211111'); CREATE USER 'shaila'@'localhost' IDENTIFIED BY '10821'; GRANT ALL PRIVILEGES ON NCNU.* TO "chihua"; FLUSH PRIVILEGES; USE NCNU; SHOW DATABASES; -- 檢查是否新增成功 ```` - export database ```shell= mysqldump -u username -p database > backup_file_name.sql ``` - import database ```shell= mysql -u username -p database < backup_file_name.sql ``` #### File ##### 介紹 hard link - 指向檔案自身： * hard link：只項相同的 Inode，此 inode 指向檔案硬碟儲存位置 * 即使刪掉原本的檔案了，但其實我們只刪掉了，實際的硬碟位置還在，Hard link 還指向那個 inode #### rsync * 可用來處理遠端檔案的備份與同步 * 採用增量備份 * 遠端備份指令 ``` $ rsync -azvh path/to/local_file remote_host@remote_user:path/to/remote_directory ``` * `-a`：保留檔案權限 * `-v`：執行時顯示資訊 ##### tar * 支援完整、增量、差異備份 * 常用指令 * `f`：指定壓縮檔案名稱 * `c`：壓縮檔案 * `g`：建立快照 - `tar -tvf <filename>`