{"id":3252,"date":"2019-12-21T11:14:56","date_gmt":"2019-12-21T10:14:56","guid":{"rendered":"https:\/\/esferas.org\/msqlu\/?p=3252"},"modified":"2019-12-27T18:20:51","modified_gmt":"2019-12-27T17:20:51","slug":"esquema-del-servidor-de-copias-casero","status":"publish","type":"post","link":"https:\/\/esferas.org\/msqlu\/2019\/12\/21\/esquema-del-servidor-de-copias-casero\/","title":{"rendered":"Esquema del servidor de copias casero"},"content":{"rendered":"\n<p>Ya est\u00e1. Ya tengo un punto de partida y un gr\u00e1fico cuqui para pensar mejor. <\/p>\n\n\n\n<!--more-->\n\n\n\n<p>Primero vamos con \u00e9l y luego describo los puntos claves y lo que es posible ahora y lo que hay que desarrollar un poco.<\/p>\n\n\n\n<div class=\"wp-block-image\"><figure class=\"aligncenter size-large is-resized\"><a href=\"https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2019\/12\/servicios-y-conexiones.jpg\" target=\"_blank\" rel=\"noreferrer noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2019\/12\/servicios-y-conexiones-1024x724.jpg\" alt=\"\" class=\"wp-image-3253\" width=\"470\" height=\"332\" srcset=\"https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2019\/12\/servicios-y-conexiones-1024x724.jpg 1024w, https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2019\/12\/servicios-y-conexiones-300x212.jpg 300w, https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2019\/12\/servicios-y-conexiones-768x543.jpg 768w, https:\/\/esferas.org\/msqlu\/wp-content\/uploads\/sites\/12\/2019\/12\/servicios-y-conexiones.jpg 1123w\" sizes=\"auto, (max-width: 470px) 100vw, 470px\" \/><\/a><\/figure><\/div>\n\n\n\n<p>Del p\u00e1rrafo anterior vemos que hay dos tipos de problemas:<\/p>\n\n\n\n<ol class=\"wp-block-list\"><li>Acceso desde el exterior<\/li><li>Gesti\u00f3n de dispositivos<\/li><li>Mecanismos de copia<\/li><\/ol>\n\n\n\n<h3 class=\"wp-block-heading\">Acceso desde el exterior<\/h3>\n\n\n\n<p>El acceso desde el exterior, estando dentro de una o varias capas de NAT tiene sus dificultades. Si s\u00f3lo es una capa se puede configurar el router para que abra uno o dos puertos hacia la Raspberry. Si son dos la cosa es m\u00e1s complicada y la dejo para el final. <\/p>\n\n\n\n<p>Para saber la IP de conexi\u00f3n desde el NAS cliente podemos a\u00f1adir un servicio de DNS din\u00e1mico en la Raspberry o abrir un t\u00fanel SSH inverso. A\u00fan no tengo claro c\u00f3mo voy a implementarlo precisamente por lo que comento m\u00e1s arriba, si el proveedor de acceso emplea una <a href=\"https:\/\/www.redeszone.net\/2016\/12\/02\/doble-nat-repercute-forma-negativa-la-hora-jugar-online\/\">doble NAT<\/a> o algo similar la cosa se pone dif\u00edcil.<\/p>\n\n\n\n<p>El esquema de arriba tambi\u00e9n muestra algo que he a\u00f1adido por si acaso, y es el de tener certificados digitales para las conexiones seguras. Es algo que ya llevo tiempo pensando y que no he afrontado a\u00fan. Dispongo de un dominio llamado balteus.net que reserv\u00e9 precisamente para ello: dar soporte de nombres a m\u00e1quinas con IP din\u00e1mica. Conectando con SSH la transmisi\u00f3n cifrada va incluida pero para cualquier servicio v\u00eda web tener un certificado no autogenerado es toda una ventaja. <\/p>\n\n\n\n<p>Resumiendo los temas que tengo que estudiar:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>IP asociada con un nombre<\/li><li>Apertura de puertos desde router de fibra<\/li><li>T\u00fanel SSH inverso empleando un tercero<\/li><li>VPN sencilla <\/li><\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Gesti\u00f3n de dispositivos<\/h3>\n\n\n\n<p>En este caso podemos emplear dos variantes: dispositivo siempre en l\u00ednea o montaje a demanda. Tenerlo siempre en l\u00ednea es c\u00f3modo pero tambi\u00e9n m\u00e1s peligroso en caso de intrusi\u00f3n en el sistema y supone un mayor desgaste porque un servidor de copias pasa la mayor parte del tiempo mano sobre mano. Adem\u00e1s se crea una relaci\u00f3n muy \u00edntima con el sistema bajo el que funciona y hace m\u00e1s complicado cambiar de disco -para intercambiar vol\u00famenes se me ocurre- al ser m\u00e1s r\u00edgida la configuraci\u00f3n.<\/p>\n\n\n\n<p>En cualquiera de los dos casos el dispositivo puede ser transparente para la Raspberry o tener una capa de cifrado que proporcione m\u00e1s seguridad al propietario de los datos, con la certeza de que puede situar el montaje en casa de alguien con menos confianza que un padre, por ejemplo. <\/p>\n\n\n\n<p>Respecto a esto \u00faltimo ya he comentado algunas ideas en <a href=\"https:\/\/esferas.org\/msqlu\/2019\/12\/20\/y-si-tenemos-un-disco-de-copias-en-un-lugar-apartado\/\">esta entrada<\/a>. Construir\u00e9 un paquete para poder instalar el mecanismo en varios sitios. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Mecanismos de copia<\/h3>\n\n\n\n<p>El montaje puede convertir a la Raspberry en un dispositivo de copias activo o pasivo. Por activo entiendo que el sistema es el que inicia las copias y abre conexiones al exterior. Por pasivo es lo contrario, recibe conexiones y abre servicios al exterior.<\/p>\n\n\n\n<p>Estos servicios pueden ser variados, aunque yo prefiero limitarlos a lo m\u00e1s conocido posible:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>rsync <\/li><li>rsync v\u00eda SSH <\/li><li>scp v\u00eda SSH<\/li><li>sftp v\u00eda SSH<\/li><\/ul>\n\n\n\n<p>Todos ellos con montaje previo de almacenamiento y verificaci\u00f3n de credenciales, lo que nos lleva a otro problema: c\u00f3mo hacer para mantener dichas credenciales. Una idea que ya funciona es la de crear cuentas de sistema como <a href=\"https:\/\/esferas.org\/msqlu\/2018\/08\/17\/msat-sb-utiles-para-backups\/\">describ\u00ed aqu\u00ed (<\/a>trabajo adelantado) y la otra ser\u00eda crear un peque\u00f1o directorio LDAP que es muy socorrido cuando tienes servicios web con autentificaci\u00f3n interna. <\/p>\n\n\n\n<p>Es la parte que menos me preocupa as\u00ed que ir\u00e9 resolviendo paso a paso todo lo dem\u00e1s.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ya est\u00e1. Ya tengo un punto de partida y un gr\u00e1fico cuqui para pensar mejor.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_import_markdown_pro_load_document_selector":0,"_import_markdown_pro_submit_text_textarea":"","webmentions_disabled_pings":false,"webmentions_disabled":false,"footnotes":""},"categories":[5],"tags":[34,634,554,821],"class_list":["post-3252","post","type-post","status-publish","format-standard","hentry","category-hardware","tag-backups","tag-dhis","tag-lets-encrypt","tag-raspberry-pi"],"_links":{"self":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/3252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/comments?post=3252"}],"version-history":[{"count":5,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/3252\/revisions"}],"predecessor-version":[{"id":3268,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/posts\/3252\/revisions\/3268"}],"wp:attachment":[{"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/media?parent=3252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/categories?post=3252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/esferas.org\/msqlu\/wp-json\/wp\/v2\/tags?post=3252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}