Oddělení datových úložišť CESNET

Postranní lišta

cs:navody:object_storage:rclone:rclone-extra-encryption:start

Obsah

Konfigurace a ovládání šifrovaných bucketů pomocí nástroje rclone

Tento návod popisuje nastavení a konfiguraci šifrovaných bucketů pomocí nástroje rclone. Jedná se o šifrování na klientské straně. Níže naleznete návod na konfiguraci šifrovaných bucketů pomocí příkazové řádky a pomocí grafického rozhraní.

Aby bylo možné provést konfiguraci podle následujících dvou návodů, musíte nejdříve provést stažení programu, jeho rozbalení a instalaci, postup naleznete na hlavní stránce nástroje rclone. Dále je nutné provést základní konfiguraci připojení pomocí rclone.

Konfigurace šifrování pomocí příkazové řádky

Rclone obsahuje průvodce, který vám pomůže krok za krokem nakonfigurovat šifrovaný bucket.

Uživatelé Windows potřebují spustit nástroj Command Prompt, kde mohou začít pracovat rclonem.
Uživatelé Linuxu pouze otevřou terminál a mohou začít pracovat. 

rclone config

Na zobrazeném výpisu vybereme možnost New remote pomocí volby n. Dále zvolíme jméno našeho úložiště, například cesnet_s3_encrypted. Dále vybereme Option Storage, zde Encrypt/Decrypt a remote.

V dalším kroku musíme definovat Option remote. Zde musíme vybrat existující S3 profil/připojení a definovat název bucketu, do kterého bude vyroben šifrovaný prostor. Konfiguraci zadáme ve formátu s3-profile:bucket-name.

Dále si můžeme vybrat Option filename_encryption. Zde vybereme Encrypt the filenames, případně ponecháme nevyplněné, pokud si nepřejeme šifrovat názvy souborů.

Následně můžeme zvolit Option directory_name_encryption. Zde vybereme Encrypt directory names, případně ponecháme nevyplněné, pokud si nepřejeme šifrovat jména složek.

V dalším kroku Option password si zvolíme šifrovací heslo.

Dále doporučujeme zvolit Option password2, heslo se použije jako sůl pro následné šifrování.

Možnost Edit advanced config můžeme přeskočit, volba n.

Takto je konfigurace kompletní. V dalším kroku jen potvrdíme volbu Keep this encrypted config remote pomocí volby y

Posledním krokem je kontrola šifrování. Nejdříve provedeme vylistování dostupných konfigurací. 

rclone listremotes
cesnet_s3_encrypted:
cesnet_s3cl2:

Následně můžeme pomocí příkazu sync nahrát 3 obrázky do rozšifrovaného bucketu. 

rclone sync --progress --fast-list /home/user/source-dir cesnet_s3_encrypted:

Dále vylistujeme rozšifrovaný svazek, kam jsme nahráli 3 obrázky. 

rclone ls cesnet_s3_encrypted:
   256805 DSC_0004.jpg
   337491 DSC_0006.jpg
   251493 DSC_0005.jpg

Nakonec zkusíme vylistovat zašifrovaný svazek, kde vidíme 3 zašifrované soubory. 

rclone ls cesnet_s3cl2:test-encryption
   256901 1er0np7kppc9jvkt7kr8f9sn90
   337619 cuqqkkhsklbnf1eegkujfkrcl4
   251589 pelqqer8osssa4k8uon95a4o6c

Konfigurace šifrování pomocí grafického rozhraní

Aby bylo možné provést konfiguraci podle tohoto návod, musíte nejdříve provést stažení programu, jeho rozbalení a instalaci, postup naleznete na hlavní stránce nástroje rclone. Dále je nutné provést základní konfiguraci připojení pomocí rclone.

Nejdříve je nutné provést spuštění grafického rozhraní. Uživatelé Windows potřebují spustit nástroj Command Prompt a následně stačí spustit následující příkaz, čímž dojde ke spuštění rclone ve webovém prohlížeči. Obdobný postup platí pro uživatele Linuxu, kde stačí otevřít terminálové okno a zavolat níže uvedený příkaz. 

#rclone rcd --rc-web-gui

Další postup je identický pro uživatele Windows i Linux.

Po nastartování grafického rozhraní rclone klikneme v levém menu na tlačítko Configs (1) a následně na tlačítko Create a New Config (2).

V prvním kroku zvolíme název profilu Name of this drive (1) a z roletového menu vybereme možnost Encrypt/Decrypt a remote (1). Následně klikneme na tlačítko Next.

V dalším kroku musíme specifikovat Remote to encrypt/decrypt (1). Zde je nutné definovat již existující S3 úložiště/profil a jméno bucketu, do kterého si přejeme vytvořit šifrovaný prostor, ve formátu s3-profile:bucket-name. Pokud vybereme neexistující bucket, rclone jej během výroby šifrovaného prostoru vytvoří. Nakonec zvolíme Password for encryption (2) a případně i Password for salt (2).

Dále přejdeme pomocí tlačítka Explorer (1) do režimu prohlížeče a následně kliknutím na tlačítko + (2) otevřeme další záložku se šifrovaným bucketem.

Dále klikneme do pole Type the name of remote you want to open (1) a vybereme příslušný název šifrovaného bucketu (1). Následně pokračujeme kliknutím na tlačítko Open (2).

V tuto chvíli již můžete začít nahrávat data, která si přejete šifrovat. Stačí kliknout na ikonku Upload (1) a následně buď vybrat data z disku anebo je přetáhnout myší pomocí interaktivního okna (2).

V následujícím příkladu jsme nahráli do rozšifrovaného bucketu 3 obrázky (1). To, zda došlo k zašifrování dat zkontrolujeme na připojeném S3 úložišti pomocí kliknutí na první záložku (2), kde máme připojené S3 úložiště.

Zde přejdeme do nakonfigurovaného šifrovaného bucketu (1).

Následně vidíme, že skutečně došlo k zašifrování našich 3 obrázků (1).

Kontrola integrity šifrovaných dat

Pro kontrolu integrity šifrovaných dat je nutné použít příkaz cryptcheck, viz příkaz níže. Použití standardního mechanismu pro kontrolu integrity na šifrovaném svazku by mělo za následek stahování dat ze vzdáleného úložiště a zahlcení klienta. 

rclone cryptcheck --fast-list C:\Users\Albert\Desktop\test_sync shared_encrypted:dir01/

2022/08/29 16:57:45 NOTICE: Encrypted drive 'shared_encrypted:dir01/': 0 differences found
2022/08/29 16:57:45 NOTICE: Encrypted drive 'shared_encrypted:dir01/': 14 matching files
Při použití volby cryptcheck doporučujeme rovněž použití volby --fast-list, která umožní v rámci jednoho dotazu načíst informace až o 1000 objektech a informace uloží do paměti. Celý proces kontroly se tím rapidně zrychluje.

Sdílení šifrovaných bucketů

Buckety je možné v rámci společného prostoru (tenantu), případně mezi uživateli sdílet s použitím bucket policy. Pokud chcete sdílet buckety opatřené šifrovaným prostorem, budete potřebovat vy, jako zdroj sdílení, nakonfigurovat šifrovaný svazek do bucketu, na kterém je nastavena příslušná bucket policy.

Jakmile máte nastavené šifrování, stačí sdělit vašemu kolegovi šifrovací hesla, které jste použili při výrobě šifrovaného svazku, a název sdíleného bucketu. Váš kolega si podle návodu výše může nakonfigurovat příslušný šifrovaný svazek na svém počítači s použitím vašich šifrovacích hesel.

Prosím věnujte pozornost následující sekci popisující potřebu změny šifrovacích hesel, případně ztrátu šifrovacích hesel.

Kompromitace šifrovacích hesel vs. ztráta šifrovacích hesel

Kompromitace šifrovacích hesel

V případě, že dojde k úniku šifrovacího hesla, případně k situaci, že byste potřebovali změnit šifrovací hesla, tak je řešením pouze výroba nového šifrovaného svazku s novými šifrovacími hesly a přesunutí dat do tohoto svazku.

Zde existují dvě možnosti. První možností je ta, že pokud máte data dostupná lokálně na vašem počítači, stačí vytvořit nový šifrovaný svazek a data do něho přesunout. Následně můžete starý šifrovaný svazek zrušit.

Druhou možností je, že můžete data přesunout pomocí rclone ze starého šifrovaného svazku přímo do nového šifrovaného svazku. Výhodou této metody je především to, že při přešifrování není nutné všechna data stahovat na váš počítač, viz příklad. 

rclone copy old_encrypted_drive:dir01 new_encrypted_drive:dir01

Ztráta šifrovacích hesel

V případě šifrování bucketů se jedná o šifrování na straně klienta. Správce úložiště tedy nemá žádnou možnost, jak vám obnovit data v případě ztráty šifrovacích hesel.

Ztráta šifrovacích hesel tedy vždy znamená ztrátu dat!

Kde nalézt konfigurační soubor šifrovaného bucketu

Windows 

C:\Users\DedaLebeda\AppData\Roaming\rclone\rclone.conf

Linux 

~/.config/rclone/rclone.conf
Poslední úprava:: 24.04.2023 14:53

Rychlé odkazy

Kontakt

CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz

Stálá služba

Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz

© 1996–2024 CESNET, z. s. p. o.