Account per backup.

Discussioni sul software di backup NetBak Replicator.
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Account per backup.

Messaggio da spiker »

Salve a tutti,
avrei bisogno di un consiglio per creare un account da utilizzare per fare backup.
Attualmente utilizzo un software che da windows copia cartelle verso il nas, accedendo al nas tramite account amministratore.
Vorrei creare un account con permessi limitati da utilizzare come accesso al nas dal programma windows che gestisce i backup.
Come lo configurereste ?!?

Grazie.
Avatar utente
PiaNi
Messaggi: 4180
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Account per backup.

Messaggio da PiaNi »

Allora devi crearti una cartella ed un account con accesso in lettura e scrittura per quella cartella. Gli altri utenti/account non devono poter scrivere in quella cartella.
Poi devi scegliere un software che fa backup su nas con cartelle protette da password, ti scrivo alcuni, ma non è un elenco esaustivo:
Veeam
Iperius
Uranium

Ovviamente quando accedi a quelle cartelle devi loggarti nel qnap con l'account oppurtuno, puoi farlo anche da windows, ma non salvare la password in windows.
Ultima modifica di PiaNi il 03 feb 2023, 10:08, modificato 1 volta in totale.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Le cartelle sono già create ed ogni cartella corrisponde ad un backup da effettuare. Ad esempio cartella foto, cartella documenti, cartella file vari ed altre cartelle.
Attualmente il programma in background su windows avvia dei backup delle varie cartelle in orari e con metodologie diverse a seconda della cartella.
Utilizzo per accedere al nas le credenziali di un utente che è amministratore.

Quindi dovrei creare un account che abbia accesso in lettura e scrittura alle varie cartelle di backup sul nas ma non amministratore. Oppure è meglio creare un utente per ogni cartella, ad esempio uente foto, utente documenti ?!?

Che significa scegliere un programma che faccia backup su cartelle protette da password ?!? Parli per effettuare il login al nas oppure di creare delle password alle singole cartelle perchè non siano accessibili ?!? Oppure crittografarle ?!?

Grazie.
Avatar utente
PiaNi
Messaggi: 4180
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Account per backup.

Messaggio da PiaNi »

Credo che è sufficiente un solo utente per le varie tipologie di backup. Che sia amministratore o no, del nas è indifferente.

Serve un software windows se vuoi automatizzare questi backup, altrimenti devi farli a mano o manina, come si suol dire.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Il software è già operativo e perfettamente funzionante. I backup sono già impostati correttamente e funzionano perfettamente.

La mia domanda era riguardo al tipo di account da far utilizzare al programma che gestisce i backup per limitarne i permessi.

Tale domanda mi è sorta dopo aver letto questo articolo

https://www.qnap.com/solution/ransomware/it-it/

in particolare quanto riportato: "Usare QNAP NetBak Replicator (o un altro strumento di backup) per effettuare regolarmente il backup dei file sul NAS con account utente che hanno solo diritti di accesso limitati (molto consigliato), quindi configurare la funzione istantanea con l'account dell'amministratore."

Quindi chiedo, come impostare un nuovo account sul qnap che si occupi solo ed esclusivamente dei backup ?!?

Grazie.
Avatar utente
PiaNi
Messaggi: 4180
Iscritto il: 25 ott 2011, 22:39
Località: Bari

Re: Account per backup.

Messaggio da PiaNi »

spiker ha scritto: 03 feb 2023, 14:36 ....
in particolare quanto riportato: "Usare QNAP NetBak Replicator (o un altro strumento di backup) per effettuare regolarmente il backup dei file sul NAS con account utente che hanno solo diritti di accesso limitati (molto consigliato), quindi configurare la funzione istantanea con l'account dell'amministratore."
Le istantanee o snapshot sono un'altra cosa e non le ho mai usate.
Ultima modifica di PiaNi il 03 feb 2023, 15:05, modificato 2 volte in totale.
Gigabyte B550M Aorus Pro-P | Ryzen 5700x + Scythe Fuma 2 | nVidia RTX 3060 12GB | NVMe WDBlack 500GB + WD120EFAX
TS 473A: 3×WD60EFRX Raid5
TS 133: SGT EXOS 16TB
TS 453A: 3×WD84PURZ Raid5
TS 251+: WD40EFAX (SMR!!)
Synology 1520+: 4×WD4003FRYZ Raid5
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Parlo di backup non snapshot od istantanee.

E' cmq utile creare un account limitato per questo tipo di operazioni ?!?

Grazie.
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Qualche info in merito ?!?
Avatar utente
lucam1970
Messaggi: 707
Iscritto il: 28 gen 2012, 01:02

Re: Account per backup.

Messaggio da lucam1970 »

spiker ha scritto: 03 feb 2023, 14:56 E' cmq utile creare un account limitato per questo tipo di operazioni ?!?
Come hai letto in quell’articolo, è consigliato.
Se qualche malintenzionato sfruttasse una falla del tuo software di backup ma tu fossi “loggato” nel NAS (e quindi nell’app di backup) come semplice utente, il tizio non potrebbe acquisire il controllo completo del NAS.
Questo discorso vale per qualsiasi app che possa gestire traffico dati da e verso l’esterno casa tua, con le relative porte aperte verso il router.
Il micidiale attacco ransomware Deadbolt di un po’ di tempo fa sfruttò una falla in Photostation. Praticamente un numero importante -nel mondo- di persone che usavano Photostation per accedere alle proprie foto da fuori casa, il 3 settembre si ritrovarono il NAS criptato.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Grazie per la gentile risposta.
I backup sono giornalieri. Il software di backup si connette al nas quando è schedulato il backup e poi devo impostare (sperando che sia presente come impostazione nel software di backup) che si disconnetta perchè a mio parere anche terminato il backup rimane connesso. Ovviamente il software di backup si connette al nas con un account amministratore che però non è administrator.
La mia domanda rimane in essere in quanto, mettiamo che crei un utente esclusivo sul nas che si occupa dei backup, che lo utilizzo con il software di backup per farlo connette al nas, questo utente non sarà amministratore, non avrà accesso alle app, però dovendo fare i backup dei dati avrà comunque credo obbligatoriamente l'accesso in lettura e scrittura a terabyte di dati che sono sottoposti a backup, giusto ?!?

Quindi se dovessero trovare un bug da poter sfruttare sul software di backup, dov'è la sicurezza nella creazione di utente predisposto solo per effettuare i backup ?!?

Grazie.
Avatar utente
lucam1970
Messaggi: 707
Iscritto il: 28 gen 2012, 01:02

Re: Account per backup.

Messaggio da lucam1970 »

spiker ha scritto: 07 feb 2023, 08:49 Quindi se dovessero trovare un bug da poter sfruttare sul software di backup, dov'è la sicurezza nella creazione di utente predisposto solo per effettuare i backup ?!?
... è nel fatto che un utente così configurato, privo di privilegi da amministratore, non potrà accedere a nessuna altra cartella del tuo nas e non potrà lanciare alcuna routine del sistema operativo del tuo NAS (che poi è linux un po' customizzato dalla QNAP).
E' chiaro che dovrà essere tua cura fare in modo che l'utente dedicato al backup sia in un gruppo apposito dedicato solo al backup e che, appunto, possa accedere in lettura e scrittura solo alle cartelle di destinazione del backup di windows e a niente altro sul nas.

Se a questo user gli dai un nome non scontato con una password sufficientemente robusta e se il backup lo gestisci all'interno della tua lan domestica, magari adottando le precauzioni che ti ho consigliato nell'altro thread che hai aperto riguardo alla VPN, dovresti essere un pezzo avanti.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Ok grazie. Ho disabilitato la vpn sul nas. Ho abilitato quella direttamente del router. Non riesco però a disabilitare l'accesso dall'esterno al nas dov'è l'impostazione per chiudere l'accesso dall'esterno dal nas. Ok che basta disabilitare il portforward della porta sul router, ma c'è anche un'impostazione da disabilitare sul nas ?!?

Grazie.
Avatar utente
lucam1970
Messaggi: 707
Iscritto il: 28 gen 2012, 01:02

Re: Account per backup.

Messaggio da lucam1970 »

spiker ha scritto: 09 feb 2023, 16:12 ...Ok che basta disabilitare il portforward della porta sul router, ma c'è anche un'impostazione da disabilitare sul nas ?!?
A memoria mi pare di no.
Devi certamente disabilitare upnp, sia sul router che sul nas, nonchè interrompere del tutto MyqnapCloud.

Inoltre, devi cambiare le porte di default per l'accesso http, https e ssh.

Comunque, se non vado errato, tutte queste cose ci sono nel documento di @selvaggi che ti avevo indicato nell'altro tuo thread
(viewtopic.php?t=19681)
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Grazie per la risposta. Fatto già tutto queste cose tranne myqnapcloud dove uso il ddns ed il myqnapcloud link che lo uso proprio per collegarmi da remoto all'interfaccia del nas, è un metodo che ti permette di collegarti alla dashboard del nas senza dover aprire alcuna porta sul router.
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Avatar utente
lucam1970
Messaggi: 707
Iscritto il: 28 gen 2012, 01:02

Re: Account per backup.

Messaggio da lucam1970 »

spiker ha scritto: 09 feb 2023, 22:21 Grazie per la risposta. Fatto già tutto queste cose tranne myqnapcloud dove uso il ddns ed il myqnapcloud link che lo uso proprio per collegarmi da remoto all'interfaccia del nas, è un metodo che ti permette di collegarti alla dashboard del nas senza dover aprire alcuna porta sul router.
Ti sconsiglio fortemente di utilizzare myqnapcloud.
Un eventuale falla di sicurezza, come fu per Photostation e per altri applicativi in occasione degli attacchi ransomware degli ultimi tre anni, e il rischio di essere bucati diventa altissimo.
Con il metodo che ti ho suggerito nell’altro tuo thread non hai nessuna esigenza di tenere attivo myqnapcloud per accedere al tuo Nas.
Ci entri con OpenVPN e l’indirizzo IP interno.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Grazie per la risposta:
https://www.qnap.com/it-it/software/myqnapcloud
https://www.qnap.com/solution/secure-re ... ess/it-it/

in base a questi due link lo definiscono sicuro. Alla fine accedi al nas da remoto senza dover aprire alcuna porta sul router. Anche se è un servizio in più abilitato ed una possibilità in più di compromettere la sicurezza del nas.
Quindi è stato sviluppato per chi non ha una vpn o non sa come configurarla ?!?

Alla fine avere un nas senza la possibilità di poter accedere da remoto lo vedo molto riduttivo.

Nel senso che un nas a mio avviso presumo sia pensato per garantire servizi ed essere esposto all'esterno quindi. Avere dei files non accessibili dall'esterno con la possibilità di poterlo fare, allora conviene comprare un hardisk usb da collegare al pc per semplice backup. E' pur vero che avendo dei files importanti accessibili dall'esterno sono più a rischio.

La vpn del router rimane quindi la soluzione più sicura ?!?
Avatar utente
lucam1970
Messaggi: 707
Iscritto il: 28 gen 2012, 01:02

Re: Account per backup.

Messaggio da lucam1970 »

spiker ha scritto: 10 feb 2023, 14:34
... in base a questi due link lo definiscono sicuro. Alla fine accedi al nas da remoto senza dover aprire alcuna porta sul router. Anche se è un servizio in più abilitato ed una possibilità in più di compromettere la sicurezza del nas.
Quindi è stato sviluppato per chi non ha una vpn o non sa come configurarla ?!?
se chiedi all'oste com'è il vino la risposta è, di solito, scontata.
QVPN è pensata per semplificare il tunnelling vpn da e verso il Qnap, anche dal punto di vista dell'interfaccia grafica.
E' una precisa scelta di Qnap che trovi anche in altre componenti del QTS o delle sue applicazioni. Da Container Station a Security Counselor, passando per l'interfaccia dedicata alla gestione dei profili ethernet. Giusto per ricordarne alcune.
Non è una cosa sbagliata ma, come abbiamo osservato in tanti nel forum, si presta a falle qua e là che purtroppo hanno fatto piangere un sacco di utenti Qnap.

Alla fine avere un nas senza la possibilità di poter accedere da remoto lo vedo molto riduttivo.
Nel senso che un nas a mio avviso presumo sia pensato per garantire servizi ed essere esposto all'esterno quindi. Avere dei files non accessibili dall'esterno con la possibilità di poterlo fare, allora conviene comprare un hardisk usb da collegare al pc per semplice backup. E' pur vero che avendo dei files importanti accessibili dall'esterno sono più a rischio.
Concordo perfettamente. Purtroppo però bisogna bilanciare le esigenze personali con gli aspetti di sicurezza.
Ripeto, sottostimare questi ultimi è davvero rischioso oggigiorno.
Trovarsi criptate decine di migliaia di fotografie o video personali - i ricordi di una vita intera magari - può essere violazione della propria intimità pari a quella che si affronta dopo che ti hanno derubato casa. Per non parlare del fatto che poi tocca pure pagare per riaverli indietro.
La vpn del router rimane quindi la soluzione più sicura ?!?
Secondo tanti sì. Ancora meglio la soluzione dedicata hardware/software che ti avevo consigliato.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
spiker
Messaggi: 282
Iscritto il: 06 mar 2010, 19:22

Re: Account per backup.

Messaggio da spiker »

Ok. Grazie.
Ho disabilitato tutto sul nas ed abilitato la vpn sul router. L'unica cosa che ho lasciato abilitato sul nas è un ddns di scorta nel caso quello del router non funzionasse. Rimane solo una cosa, Ho un app installata proveniente da terzi non certificata qnap ed appena installata ho disabilitato in app center "consenti installazione di applicazioni senza firma digitale valida". Una volta disabilitato nonostante l'app sia installata, mi disabilita l'app e non la fa funzionare.
C'è modo di rendere un app certificata qnap ?!? Altrimenti dovrei lasciare attivata sempre l'opzione in app center l'installazione di app non qnap.

Grazie.
Avatar utente
lucam1970
Messaggi: 707
Iscritto il: 28 gen 2012, 01:02

Re: Account per backup.

Messaggio da lucam1970 »

spiker ha scritto: 12 feb 2023, 08:51 C'è modo di rendere un app certificata qnap ?!? Altrimenti dovrei lasciare attivata sempre l'opzione in app center l'installazione di app non qnap.
Non so se esiste un modo e comunque non credo ci sia.
Hai provato a vedere se questa app che ti serve esiste sulla piattaforma hub.docker.com? In caso positivo la installi con Container Station e sei a posto.
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Rispondi

Torna a “Backup & Restore-NetBak Replicator & software di backup di terze parti”