Verschlüsseln ruhender Daten

Einleitung

Mit der von DocSpace bereitgestellten Funktion Daten im Ruhezustand verschlüsseln können Sie die Sicherheit vertraulicher Daten in Ihrem DocSpace gewährleisten.

Verschlüsselung ist eine reversible Umwandlung von Informationen, um die Vertraulichkeit der auf der Festplatte gespeicherten Daten zu wahren. Selbst wenn es Angreifern gelänge, auf die auf der Festplatte gespeicherten Daten zuzugreifen, könnten sie diese aufgrund der Verschlüsselung nicht lesen.

Die Verschlüsselung basiert auf dem Verschlüsselungstyp „Encrypt-then-MAC“ (AES-256-CBC + HMAC-SHA256) des gesamten Datenbestands innerhalb der ONLYOFFICE-Instanz und entspricht dem internationalen Datenverschlüsselungsstandard AES-256. Der Verschlüsselungstyp AES-256 mit dem symmetrischen Algorithmus CipherMode.CBC wird zur Verschlüsselung der Daten in DocSpace verwendet, während die SHA256-Hashing-Funktion in Verbindung mit der HMAC-Nachrichtenauthentifizierungscode-Überprüfung die Integrität und Authentizität der verschlüsselten Daten überprüft.

Diese Funktion ist nur für Serverversionen verfügbar. Sie funktioniert nur für DiscDataStore (nur lokale Festplatte. Nicht implementiert für S3 und andere Cloud-Dienste).

WichtigAus Sicherheitsgründen wird davon abgeraten, verschlüsselte Daten und Verschlüsselungsschlüssel auf demselben Rechner zu speichern. Daher ist es notwendig, DocSpace-Dienste und Festplattenspeicher auf verschiedene Rechner zu verteilen. Die einzige Möglichkeit besteht darin, einen anderen Rechner als externes Laufwerk zu nutzen.

Mounten einer Remote-Computerfestplatte über SSHFS

Betrachten wir die Option, die Festplatte unter Linux zu mounten, wenn DocSpace über DEB-Pakete installiert wird.

SSHFS (Secure SHell FileSystem) ist ein Client-Programm für Linux (und andere Betriebssysteme, für die es eine FUSE-Implementierung (Filesystem in Userspace) gibt), mit dem Dateien über das SSH-Protokoll (genauer gesagt über die SFTP-Erweiterung) remote verwaltet werden können, als ob sie sich auf dem lokalen Computer befänden.

  • HostA ist der Anwendungsserver-Host mit DocSpace
  • HostB ist der Dateispeicherhost
  • /var/www/onlyoffice/Data/ ist der Pfad zum Datenordner auf HostA
  • /app/onlyoffice/data ist der Pfad zum Datenordner auf HostB
  • docspace ist der Name des nicht privilegierten Benutzers auf HostA
  • datauser ist der Name des nicht privilegierten Benutzers auf HostB
Schritt 1. HostB einrichten

Installieren Sie Updates auf dem System und starten Sie es neu:

sudo su
apt update
apt upgrade
reboot

Erstellen und konfigurieren Sie den nicht privilegierten Benutzer und den Zielordner:

sudo su
adduser datauser
mkdir /app/onlyoffice/data
chown datauser:datauser /app/onlyoffice/data
Schritt 2. HostA einrichten

Installieren Sie Updates und erforderliche Pakete auf dem System und starten Sie es neu:

sudo su
apt update
apt upgrade
apt install sshfs
reboot

Stoppen Sie die DocSpace-Dienste:

sudo systemctl stop 'docspace-*' --all

Verschieben Sie die DocSpace-Daten in ein temporäres Verzeichnis, sodass das Quellverzeichnis vor dem Mounten leer ist:

mkdir /var/www/onlyoffice/tmp
mv /var/www/onlyoffice/Data/* /var/www/onlyoffice/tmp/

Erstellen Sie den nicht privilegierten Benutzer, generieren Sie Schlüssel und bereiten Sie den Einhängepunkt vor:

sudo su
adduser docspace
ssh-keygen -t ed25519 -f /root/.ssh/id_ed25519 -C "key_for_hostb_connection"

Zeigen Sie den öffentlichen Schlüssel auf dem Bildschirm von HostA an, um ihn auf HostB zu kopieren:

sudo su
cat /root/.ssh/id_ed25519.pub

Ausgabebeispiel:

root@sftp-test-01:~# cat /root/.ssh/id_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBsDV25Pg8yB1QHeTZXJGphGTDhfqQQKVetcqvhk0dkf key_for_hostb_connection

Der vom Cat-Befehl ausgegebene Schlüssel muss kopiert und in die Datei /home/datauser/.ssh/authorized_keys auf HostB eingefügt werden.

Testen Sie die Verbindung mit dem Schlüssel von HostA zu HostB:

ssh -i /root/.ssh/id_ed25519 datauser@hostB

Wenn Sie den vorherigen Schritt korrekt ausgeführt haben, sollte eine Verbindung zu HostB geöffnet werden. Diese kann mit dem Befehl exit geschlossen werden.

Testen Sie das Mounten:

sshfs -o reconnect,ServerAliveInterval=15,ServerAliveCountMax=3 datauser@hostB:/app/onlyoffice/data/ /var/www/onlyoffice/Data/
touch /var/www/onlyoffice/Data/test.txt
umount /var/www/onlyoffice/Data

Nach Ausführung dieser Befehle sollte die Datei text.txt im Ordner /app/onlyoffice/data auf HostB erscheinen. Wenn die Datei erscheint, funktioniert das Mounten korrekt und Sie können mit der endgültigen Konfiguration fortfahren.

Ermitteln Sie die ID des nicht privilegierten Benutzers und nehmen Sie Änderungen an der Datei /etc/fstab vor:

sudo id -u docspace

Dieser Befehl zeigt die UID des Docspace-Benutzers an, die in der Mount-Zeile in die Parameter uid und gid eingesetzt werden muss:

sshfs#datauser@hostB:/app/onlyoffice/data   /var/www/onlyoffice/Data   fuse   _netdev,users,allow_other,IdentityFile=/root/.ssh/id_ed25519,ServerAliveInterval=15,ServerAliveCountMax=3,reconnect,uid=1000,gid=1000,umask=0022   0   0

Diese Zeile muss in die Datei /etc/fstab eingefügt werden. Nach dem Hinzufügen der Zeile mounten Sie den Ordner über /etc/fstab und testen ihn:

sudo su
systemctl daemon-reload
mount -a
su docspace
touch /var/www/onlyoffice/Data/test2.txt

Wenn alle Verfahren korrekt ausgeführt wurden, wird die Datei test2.txt im Ordner /app/onlyoffice/data auf HostB erstellt.

Löschen Sie die Testdateien und stellen Sie die DocSpace-Daten wieder her:

rm /var/www/onlyoffice/Data/test*.txt
mv /var/www/onlyoffice/tmp/* /var/www/onlyoffice/Data/
rmdir /var/www/onlyoffice/tmp

Starten Sie die DocSpace-Dienste:

sudo systemctl start 'docspace-*' --all

Überprüfen Sie nach dem Starten der Anwendung die Arbeit in der Benutzeroberfläche (Herunterladen, Öffnen von Dateien, Ändern des Avatars, Hochladen der Lizenz).

Auf ähnliche Weise können Sie den Ordner mit Protokollen mounten.

Sich auf den Verschlüsselungsprozess vorbereiten

Bevor Sie mit dem Verschlüsselungsvorgang beginnen, müssen Sie einige vorbereitende Schritte durchführen.

  1. Klicken Sie in Ihrem DocSpace auf das Menü Options icon in der unteren linken Ecke und wählen Sie im linken Bereich den Menüpunkt Spaces -> Space Management aus.
  2. Wechseln Sie zum Abschnitt Einstellungen -> Sicherung und deaktivieren Sie die Funktion Automatische Datensicherung.
  3. Stellen Sie sicher, dass auf Ihrer Festplatte genügend Speicherplatz vorhanden ist.
WichtigEs wird empfohlen, den machinekey aus der Konfiguration zu speichern. Wenn Sie beispielsweise DocSpace neu installieren, können Sie mit einem anderen machinekey keine Verbindung zu verschlüsselten Daten herstellen.

Wenn DocSpace mit den DEB-Paketen installiert wird, suchen Sie den Wert core.machinekey in der Datei /etc/onlyoffice/docspace/appsettings.production.json.

Nachdem die Vorvorbereitungen abgeschlossen sind, können Sie mit dem nächsten Schritt fortfahren.

Speicher verschlüsseln

  1. Wechseln Sie zum Abschnitt Speicherplatzverwaltung -> Einstellungen -> Speicher.
  2. Aktivieren Sie das Kontrollkästchen Benutzer benachrichtigen, dass der Speicherplatz nicht verfügbar sein wird, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Verschlüsselungsprozess beginnt.
    Nach erfolgreichem Abschluss des Verschlüsselungsprozesses erhalten alle aktiven Benutzer außerdem E-Mail-Benachrichtigungen. Wenn während des Verschlüsselungsprozesses ein Fehler auftritt, erhalten alle Administratoren (unabhängig von der Option Benutzer benachrichtigen) E-Mail-Benachrichtigungen über den fehlgeschlagenen Verschlüsselungsprozess.
  3. Klicken Sie auf die Schaltfläche Speicher verschlüsseln und dann auf OK, um den Verschlüsselungsprozess zu starten.

Die Dauer des Vorgangs hängt vom Datenvolumen ab. Während der Verschlüsselung sind alle Spaces nicht verfügbar. Sobald die Verschlüsselung abgeschlossen ist, stehen die DocSpace-Daten wieder zur Verfügung.

Encrypt storageEncrypt storage
WichtigBei jedem Verschlüsselungsstart wird ein neues Passwort generiert. Sollte Ihr Passwort kompromittiert worden sein, müssen Sie alle Daten entschlüsseln und erneut verschlüsseln.
WichtigWenn der Verschlüsselungsmechanismus aktiviert ist, enthält eine neu erstellte Sicherungskopie des Datenarchivs entschlüsselte Dateien. Wenn eine solche Kopie wiederhergestellt wird, werden die Dateien auf der Festplatte wieder verschlüsselt.
WichtigSollten während der Ausführung des Dienstes Probleme auftreten (kritische Fehler, Unterbrechung des Dienstes, Stromausfall usw.), bleiben alle Plätze gesperrt. Eine manuelle Behebung ist nur in der Datenbank möglich: UPDATE tenants_tenants SET status='0' WHERE status='6';

Speicher entschlüsseln

Um Daten in DocSpace zu entschlüsseln,

  1. Wechseln Sie zum Abschnitt Speicherplatzverwaltung -> Einstellungen -> Speicher.
  2. Aktivieren Sie das Kontrollkästchen Benutzer benachrichtigen, dass der Speicherplatz nicht verfügbar sein wird, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Entschlüsselungsprozess beginnt.
    Nach erfolgreichem Abschluss des Entschlüsselungsvorgangs erhalten alle aktiven Benutzer außerdem eine E-Mail-Benachrichtigung. Tritt während des Entschlüsselungsvorgangs ein Fehler auf, erhalten alle Administratoren (unabhängig von der Option Benutzer benachrichtigen) eine E-Mail-Benachrichtigung über den fehlgeschlagenen Entschlüsselungsvorgang.
  3. Klicken Sie auf die Schaltfläche Speicher entschlüsseln und dann auf OK, um den Entschlüsselungsprozess zu starten.
    Decrypt storageDecrypt storage

Die Dauer des Vorgangs hängt vom Datenvolumen ab. Während der Verschlüsselung sind alle Spaces nicht verfügbar. Sobald die Verschlüsselung abgeschlossen ist, stehen die DocSpace-Daten wieder zur Verfügung.

Hosten ONLYOFFICE DocSpace auf Ihrem eigenen Server oder nutzen Sie es in der Cloud

Jetzt erhaltenIn der Cloud nutzen
Artikel zum Thema:
Alle Schlagwörter