Administrator
- mgr inż. Marcin Borkowski
- e-mail: Marcin.Borkowski@pw.edu.pl
- dyżur dla studentów: pokój 323 Gmach MiNI
Spis treści
- Opis Dysku
- Uprawnienia do plików i katalogów
- Ograniczenia dostępnej pojemności
- Dostęp do dysku na stacjach Windows
- Dostęp do dysku na stacjach ARCH Linuks
- Dostęp do dysku spoza wydziału
- Dane Archiwalne (1,2 i 3 dni wstecz)
Opis Dysku
Wydział dysponuje średniej klasy macierzą dyskową na której przechowywane są wszystkie dane studentów i pracowników. Przestrzeń dyskowa, z której korzystacie Państwo podczas pracy na stacjach roboczych jest właśnie częścią tej macierzy. Dane udostępniane są stacjom roboczym poprzez protokół NFS v.4 i SMB/CIFS.
Uprawnienia do plików i katalogów
Każdy z Państwa ma przyznany dostęp do swojego katalogu domowego, poprzez nadanie odpowiednich uprawnień możliwe jest dopuszczenie do swoich danych innych studentów i/lub nauczycieli.
Początkowo dostęp do katalogu użytkownika jest zarezerwowany tylko dla właściciela konta, można to jednak zmienić w ustawieniach uprawnień do plików i katalogów systemu Windows lub poprzez dowolne narzędzia systemowe pod Linuksem (np.:chmod, setfacl). Aby nie otwierać dostępu do całego katalogu dobrze jest utworzyć sobie specjalny katalog np.: „Public” który udostępnimy innym. W tym przykładzie do katalogu domowego wystarczy nadać tylko prawo przejścia (Linux:+x) do katalogu „Public” prawo przejścia i odczytu (Linux:+rx)
Dwa katalogi w katalogu użytkownika mają specjalne znaczenie. Pierwszy z nich to katalog Windows7, do niego są mapowane elementy profilu takie jak pulpit czy katalog „moje dokumenty”. Najlepiej nie zmieniać nic w tym katalogu ręcznie.
Drugi katalog to „public_html”, z którego są serwowane strony domowe www. Jeśli nie zamierza się publikować strony www, nie należy w takim katalogu trzymać danych, gdyż mogą one stać się widoczne dla wszystkich w Internecie.
Aby uniknąć niebezpiecznych ustawień, system co godzinę (56m każdej godziny) usuwa uprawnienia do zapisu bezpośrednio w katalogu domowym (nie dotyczy podkatalogów) nadane innym poza właścicielem osobom i grupom.
Pliki wgrane przez innych na konto automatycznie przechodzą na własność konta (a więc także na kwotę dyskową) codziennie około 22.30.
Ograniczenia dostępnej pojemności
Duża pojemność macierzy dyskowej pozwala na dość swobodne dysponowanie dostępnym miejscem. Aktualnie został narzucony jedynie limit zdrowego rozsądku czyli maksymalnie 50Gb na osobę. Nie oznacza to jednak, że mamy dość miejsca aby każdy właśnie tyle przechowywał. Użycie dysku będzie dokładnie monitorowane a osoby zachłannie z niego korzystające będą powiadamiane poprzez e-mail o konieczności zwolnienia nadmiarowej przestrzeni. W razie niezastosowania się do wezwania nadmiarowe dane będą archiwizowane i usuwane bez udziału studenta.
Ze względu na częsty problem przechowywania przez studentów na dysku sieciowym wydziału dużych plików (powyżej 5GB) będących albo maszynami wirtualnymi (na które jest przewidziane miejsce na komputerach w laboratoriach) albo obrazami płyt DVD (czyli danych które na pewno nie stanowią danych indywidualnych, nie odtwarzalnych) administrator usługi zastrzega sobie prawo do natychmiastowego kasowania wszelkich plików o rozmiarze powyżej 5GB bez ostrzegania użytkownika jeśli zajętość dysku sieciowego przekroczy 70%. W pierwszej kolejności będą kasowane obrazy maszyn wirtualnych i obrazy płyt DVD ale w razie wyższej konieczności każdy plik powyżej 5GB może zostać skasowany!
Dostęp do dysku na stacjach Windows
Od lipca 2014 wszystkie dane z katalogów domowych są przechowywane na nowej macierzy, dostęp po zalogowaniu jest zapewniony przez dysk H:. Pulpit i Moje Dokumenty są mapowane właśnie na ten dysk w podkatalogu Windows7. Profile tymczasowo nadal znajdują się na starej macierzy, nie wolno danych profilu traktować jako bezpiecznych.
Dostęp do dysku na stacjach ARCH Linuks
Na stacjach roboczych dostęp jest niejako naturalny gdyż dysk sieciowy jest podłączony podczas startu systemu i katalog domowy w systemie jest już mapowany na ten dysk.
Można także przeglądać katalogi innych studentów, są mapowane do katalogu /home/samba oraz nauczycieli /home2/samba (oczywiście nic nie można zobaczyć jeżeli nie zostało przyznane odpowiednie prawo do katalogów i plików przez ich właściciela).
Dostęp do dysku spoza wydziału
Dysk jest dostępny zewnętrznie tylko poprzez szyfrowany protokół sftp pod adresem sftp:\\drive.mini.pw.edu.pl.. Istnieje bardzo dużo wygodnych programów do obsługi tego protokołu zarówno dla systemów Windows, Linux jak i dla urządzeń mobilnych Android i iOS. Osobom mniej zaawansowanym technicznie można polecić WinSCP pod Windows lub rozszerzenia przeglądarek takie jak FireFTP dla
Firefox’a. Oczywiście wszystkie te narzędzia wymagają podania 3 ważnych informacji:
- Protokołu komunikacji (sftp lub scp, nie ftp i nie ftps)
- Loginu wydziałowego
- Hasła wydziałowego
Poprzez sftp możliwy jest także dostęp do katalogów innych osób, które udostępniają dane poprzez uprawnienia do plików i katalogów a także do danych archiwalnych.
Dostęp do sftp spoza wydziału podlega licznym zabezpieczeniom i limitom ze względu na ataki sieciowe. Oto co muszą Państwo wiedzieć aby nie zostać zaskoczonym brakiem dostępu (zwłaszcza 2 pierwsze punkty):
- Dostęp do sftp jest limitowany do Polskiej części Internetu, z zagranicy nie można bezpośrednio uzyskać dostępu. Sposób określenia co jest Polską częścią jest dość trudny, bazujemy na liście zakresów IP polskich dostawców ISP zebranej od studentów. Jeśli nie udaje się połączyć z usługą proszę sprawdzić swój adres IP (np na tej stronie:http://www.moje-ip.eu/) i przesłać go administratorowi usługi (mail na górze strony). Dostęp zostanie dodany dla całej podsieci.
- Błędne podanie loginu lub hasła 3 razy w ciągu 10 minut skutkuje blokada otwierania nowych połączeń z usługą na pół godziny. Jest to niezbędne aby spowolnić ataki słownikowe na Państwa hasła. Blokada dotyczy tylko adresu z którego wykonano nieudane próby.
- Zbyt częste nawiązywanie połączeń z jednego adresu IP jest blokowane. Maksymalnie można tworzyć do 10 połączeń na minutę. Normalnie tworzymy jedno i limit nie ma żadnego znaczenia ale jeśli ktoś utworzy repozytorium np. SVN to ten limit będzie go ograniczał. Jeśli komputer osoby łączącej się jest za NAT’em w którym więcej osób łączy się z sftp to mają ten limit wspólny. Jest to element obrony przed atakiem typu DOS
- Wszystkie połączenia z sftp nie mogą być nawiązywane szybciej niż 20/sekundę, dotyczy to wszystkich adresów połączeń i ma na celu ograniczać skutki ataków DOS i DDOS. Może się to objawiać wydłużonym czasem połączenia z usługą.
Dane Archiwalne (1,2 i 3 dni oraz 1,2,3 tygodnie wstecz)
Poprzez system „migawki” na dysku sieciowym mamy możliwość dostępu do danych archiwalnych sprzed 1,2 i 3 dni lub 1,2 i 3 tygodni. Takie migawki przedstawiają stan dysku około godziny 3.30 danego dnia. Migawki tygodniowe są wykonywane w podobnym czasie każdej niedzieli. Można w ten sposób odzyskać starsze wersje dokumentu lub skasowane pliki (o ile istniały one w momencie migawki).
W momencie tworzenia migawki nie jest blokowany dostęp do plików co jest wygodne (brak przerwy w dostępie) ale też skutkuje możliwym brakiem spójności plików które są używane pomiędzy 3:00 a 4:00 w nocy. Co prawda małe są szansę na to że ktoś z Państwa będzie akurat w tych godzinach coś wgrywał na dysk ale już pliki używane przez dynamiczne strony domowe mogą być podatne na niepoprawny backup (nie jest zagrożona ich integralność w wersji bieżącej na dysku).
Aktualnie, dane z backupu nie są dostępne dla Państwa bezpośrednio, można w razie potrzeby poprosić mailowo administratora usługi (dane na górze tej strony) o udostępnienie kopii danych archiwalnych. Ze względu na dość dużą zmianę w systemie kont studenckich (integracja z kontami pocztowymi PW) na razie nie ma możliwości aby Państwo mieli samodzielny dostęp do archiwum. Dostęp taki będzie zapewne utworzony w kolejnych latach