ONLYOFFICE Docs 9.3 objavljen: unapređeni PDF Editor i više opcija potpisa, višestrani prikaz dokumenata, Solver u tabelama, reprodukcija GIF-ova u režimu slajd-šou prezentacije, AI unapređenja i još mnogo toga
ONLYOFFICE Docs 9.3 objavljen
Ovaj članak je preveden pomoću veštačke inteligencije

Šifrovanje podataka u mirovanju

Uvod

Funkcija Šifrovanje podataka u mirovanju koju pruža DocSpace omogućava vam da osigurate bezbednost osetljivih podataka u vašem DocSpace-u.

Šifrovanje je reverzibilna konverzija informacija kako bi se održala poverljivost podataka skladištenih na disku. Tako, čak i ako napadači uspeju da pristupe podacima na tvrdom disku, neće moći da ih pročitaju jer su šifrovani.

Šifrovanje se zasniva na tipu šifrovanja Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) celokupnog tela podataka unutar ONLYOFFICE instance i usklađeno je sa međunarodnim standardom za šifrovanje podataka AES-256. Tip šifrovanja AES-256 sa simetričnim algoritmom CipherMode.CBC koristi se za šifrovanje podataka u DocSpace-u, dok funkcija heširanja SHA256 u kombinaciji sa HMAC kodom za autentifikaciju poruka proverava integritet i autentičnost šifrovanih podataka.

Ova funkcija je dostupna samo za serverske verzije. Radi samo za DiscDataStore (samo lokalni disk. Nije implementirano za s3 i druge cloud usluge).

VažnoIz bezbednosnih razloga, ne preporučuje se čuvanje šifrovanih podataka i ključeva za šifrovanje na istoj mašini. Stoga je potrebno raspodeliti DocSpace usluge i skladište diska na različite mašine. Jedina opcija je montiranje druge mašine kao eksternog diska.

Montiranje diska udaljene mašine putem SSHFS

Razmotrimo opciju montiranja diska na Linux-u kada je DocSpace instaliran putem DEB paketa.

SSHFS (Secure SHell FileSystem) je klijentski program za Linux (i druge operativne sisteme za koje postoji FUSE (Filesystem in Userspace) implementacija) koji se koristi za daljinsko upravljanje datotekama putem SSH protokola (tačnije, njegovog SFTP proširenja) kao da se nalaze na lokalnom računaru.

  • HostA je host aplikacionog servera sa DocSpace-om
  • HostB je host za skladištenje datoteka
  • /var/www/onlyoffice/Data/ je putanja do foldera sa podacima na HostA
  • /app/onlyoffice/data je putanja do foldera sa podacima na HostB
  • docspace je ime korisnika bez privilegija na HostA
  • datauser je ime korisnika bez privilegija na HostB
Korak 1. Podešavanje HostB

Instalirajte ažuriranja na sistemu i restartujte:

sudo su
apt update
apt upgrade
reboot

Kreirajte i konfigurišite korisnika bez privilegija i ciljni folder:

sudo su
adduser datauser
mkdir /app/onlyoffice/data
chown datauser:datauser /app/onlyoffice/data
Korak 2. Podešavanje HostA

Instalirajte ažuriranja i potrebne pakete na sistemu i restartujte:

sudo su
apt update
apt upgrade
apt install sshfs
reboot

Zaustavite DocSpace usluge:

sudo systemctl stop 'docspace-*' --all

Premestite DocSpace podatke u privremeni direktorijum kako bi izvorni direktorijum bio prazan pre montiranja:

mkdir /var/www/onlyoffice/tmp
mv /var/www/onlyoffice/Data/* /var/www/onlyoffice/tmp/

Kreirajte korisnika bez privilegija, generišite ključeve i pripremite tačku montiranja:

sudo su
adduser docspace
ssh-keygen -t ed25519 -f /root/.ssh/id_ed25519 -C "key_for_hostb_connection"

Prikažite javni ključ na ekranu HostA za kopiranje na HostB:

sudo su
cat /root/.ssh/id_ed25519.pub

Primer izlaza:

root@sftp-test-01:~# cat /root/.ssh/id_ed25519.pub
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBsDV25Pg8yB1QHeTZXJGphGTDhfqQQKVetcqvhk0dkf key_for_hostb_connection

Ključ koji je prikazan komandom cat mora biti kopiran i nalepiti u datoteku /home/datauser/.ssh/authorized_keys na HostB.

Testirajte vezu koristeći ključ sa HostA na HostB:

ssh -i /root/.ssh/id_ed25519 datauser@hostB

Ako ste prethodni korak ispravno završili, veza sa HostB bi trebalo da se otvori. Može se zatvoriti komandom exit.

Testirajte montiranje:

sshfs -o reconnect,ServerAliveInterval=15,ServerAliveCountMax=3 datauser@hostB:/app/onlyoffice/data/ /var/www/onlyoffice/Data/
touch /var/www/onlyoffice/Data/test.txt
umount /var/www/onlyoffice/Data

Nakon izvršavanja ovih komandi, datoteka text.txt bi trebalo da se pojavi u folderu /app/onlyoffice/data na HostB. Ako se datoteka pojavi, montiranje radi ispravno i možete preći na konačnu konfiguraciju.

Saznajte ID korisnika bez privilegija i izvršite izmene u datoteci /etc/fstab:

sudo id -u docspace

Ova komanda će prikazati uid korisnika docspace, koji mora biti zamenjen u parametrima uid i gid u liniji montiranja:

sshfs#datauser@hostB:/app/onlyoffice/data   /var/www/onlyoffice/Data   fuse   _netdev,users,allow_other,IdentityFile=/root/.ssh/id_ed25519,ServerAliveInterval=15,ServerAliveCountMax=3,reconnect,uid=1000,gid=1000,umask=0022   0   0

Ova linija mora biti dodata u datoteku /etc/fstab. Nakon dodavanja linije, montirajte folder putem /etc/fstab i testirajte ga:

sudo su
systemctl daemon-reload
mount -a
su docspace
touch /var/www/onlyoffice/Data/test2.txt

Ako su sve procedure ispravno izvedene, datoteka test2.txt će biti kreirana u folderu /app/onlyoffice/data na HostB.

Obrišite test datoteke i vratite DocSpace podatke:

rm /var/www/onlyoffice/Data/test*.txt
mv /var/www/onlyoffice/tmp/* /var/www/onlyoffice/Data/
rmdir /var/www/onlyoffice/tmp

Pokrenite DocSpace usluge:

sudo systemctl start 'docspace-*' --all

Nakon pokretanja aplikacije, proverite rad u interfejsu (preuzimanje, otvaranje datoteka, promena avatara, učitavanje licence).

Na sličan način možete montirati folder sa logovima.

Priprema za proces šifrovanja

Pre nego što započnete proceduru šifrovanja, morate izvršiti neke preliminarne korake.

  1. U vašem DocSpace-u, kliknite na Ikona opcija meni u donjem levom uglu i izaberite stavku menija Spaces -> Space Management na levoj strani panela.
  2. Prebacite se na sekciju Settings -> Backup i onemogućite funkciju Automatic Data Backup.
  3. Uverite se da imate dovoljno prostora na tvrdom disku.
VažnoPreporučuje se čuvanje machinekey iz konfiguracije. Na primer, ako ponovo instalirate DocSpace, nećete moći da se povežete sa šifrovanim podacima sa drugačijim machinekey.

Ako je DocSpace instaliran korišćenjem DEB paketa, pronađite vrednost core.machinekey u datoteci /etc/onlyoffice/docspace/appsettings.production.json.

Nakon što su preliminarne pripreme gotove, možete preći na sledeći korak.

Šifrovanje skladišta

  1. Prebacite se na sekciju Space Management -> Settings -> Storage.
  2. Označite opciju Obavesti korisnike da prostor neće biti dostupan kako biste obavestili sve aktivne korisnike putem e-pošte kada proces šifrovanja počne.
    Nakon uspešnog završetka procesa šifrovanja, svi aktivni korisnici će takođe primiti obaveštenja putem e-pošte. Ako dođe do greške tokom procesa šifrovanja, svi administratori (bez obzira na opciju Obavesti korisnike) će primiti obaveštenja putem e-pošte o neuspešnom procesu šifrovanja.
  3. Kliknite na dugme Šifruj skladište i zatim OK da pokrenete proces šifrovanja.

Vreme potrebno za završetak procedure zavisi od obima podataka. Svi prostori će biti nedostupni tokom procesa šifrovanja. Čim se šifrovanje završi, DocSpace podaci će biti dostupni za rad.

Šifrovanje skladišta Šifrovanje skladišta
VažnoNovi lozinka se generiše svaki put kada se šifrovanje pokrene. Ako je vaša lozinka kompromitovana iz nekog razloga, moraćete da dešifrujete sve podatke i ponovo ih šifrujete.
VažnoKada je mehanizam šifrovanja omogućen, novokreirana rezervna kopija arhive podataka će sadržati dešifrovane datoteke. Kada se takva kopija obnovi, datoteke će ponovo biti šifrovane na disku.
VažnoAko se pojave problemi tokom rada servisa (kritične greške, servis je zaustavljen, isključena struja, itd.), svi prostori će ostati blokirani. Oni se mogu popraviti samo ručno u bazi podataka: UPDATE tenants_tenants SET status='0' WHERE status='6';

Dešifrovanje skladišta

Da biste dešifrovali podatke u DocSpace-u,

  1. Prebacite se na sekciju Space Management -> Settings Skladište sekcija.
  2. Označite opciju Obavesti korisnike da prostor neće biti dostupan kako biste obavestili sve aktivne korisnike putem emaila kada proces dešifrovanja počne.
    Nakon uspešnog završetka procesa dešifrovanja, svi aktivni korisnici će takođe primiti email obaveštenja. Ako dođe do greške tokom procesa dešifrovanja, svi administratori (bez obzira na opciju Obavesti korisnike) će primiti email obaveštenja o neuspešnom procesu dešifrovanja.
  3. Kliknite na dugme Dešifruj skladište i zatim OK kako biste pokrenuli proces dešifrovanja.
    Dešifruj skladište Dešifruj skladište

Vreme potrebno za završetak procedure zavisi od količine podataka. Svi prostori će biti nedostupni tokom procesa enkripcije. Čim enkripcija bude završena, DocSpace podaci će biti dostupni za rad.

Članak sa oznaka:
Pregledajte sve oznake