Administrator

Spis treści

Opis Dysku

Wydział dysponuje średniej klasy macierzą dyskową na której przechowywane są wszystkie dane studentów i pracowników. Przestrzeń dyskowa, z której korzystacie Państwo podczas pracy na stacjach roboczych jest właśnie częścią tej macierzy. Dane udostępniane są stacjom roboczym poprzez protokół NFS v.4 i SMB/CIFS.

Uprawnienia do plików i katalogów

Każdy z Państwa ma przyznany dostęp do swojego katalogu domowego, poprzez nadanie odpowiednich uprawnień możliwe jest dopuszczenie do swoich danych innych studentów i/lub nauczycieli.

Początkowo dostęp do katalogu użytkownika jest zarezerwowany tylko dla właściciela konta, można to jednak zmienić w ustawieniach uprawnień do plików i katalogów systemu Windows lub poprzez dowolne narzędzia systemowe pod Linuksem (np.:chmod, setfacl). Aby nie otwierać dostępu do całego katalogu dobrze jest utworzyć sobie specjalny katalog np.: „Public” który udostępnimy innym. W tym przykładzie do katalogu domowego wystarczy nadać tylko prawo przejścia (Linux:+x) do katalogu „Public” prawo przejścia i odczytu (Linux:+rx)

Dwa katalogi w katalogu użytkownika mają specjalne znaczenie. Pierwszy z nich to katalog Windows7, do niego są mapowane elementy profilu takie jak pulpit czy katalog „moje dokumenty”. Najlepiej nie zmieniać nic w tym katalogu ręcznie.

Drugi katalog to „public_html”, z którego są serwowane strony domowe www. Jeśli nie zamierza się publikować strony www, nie należy w takim katalogu trzymać danych, gdyż mogą one stać się widoczne dla wszystkich w Internecie.

Aby uniknąć niebezpiecznych ustawień, system co godzinę (56m każdej godziny) usuwa uprawnienia do zapisu bezpośrednio w katalogu domowym (nie dotyczy podkatalogów) nadane innym poza właścicielem osobom i grupom.

Pliki wgrane przez innych na konto automatycznie przechodzą na własność konta (a więc także na kwotę dyskową) codziennie około 22.30.

Ograniczenia dostępnej pojemności

Duża pojemność macierzy dyskowej pozwala na dość swobodne dysponowanie dostępnym miejscem. Aktualnie został narzucony jedynie limit zdrowego rozsądku czyli maksymalnie 50Gb na osobę. Nie oznacza to jednak, że mamy dość miejsca aby każdy właśnie tyle przechowywał. Użycie dysku będzie dokładnie monitorowane a osoby zachłannie z niego korzystające będą powiadamiane poprzez e-mail o konieczności zwolnienia nadmiarowej przestrzeni. W razie niezastosowania się do wezwania nadmiarowe dane będą archiwizowane i usuwane bez udziału studenta.

Ze względu na częsty problem przechowywania przez studentów na dysku sieciowym wydziału dużych plików (powyżej 5GB) będących albo maszynami wirtualnymi (na które jest przewidziane miejsce na komputerach w laboratoriach) albo obrazami płyt DVD (czyli danych które na pewno nie stanowią danych indywidualnych, nie odtwarzalnych) administrator usługi zastrzega sobie prawo do natychmiastowego kasowania wszelkich plików o rozmiarze powyżej 5GB bez ostrzegania użytkownika jeśli zajętość dysku sieciowego przekroczy 70%. W pierwszej kolejności będą kasowane obrazy maszyn wirtualnych i obrazy płyt DVD ale w razie wyższej konieczności każdy plik powyżej 5GB może zostać skasowany!

Dostęp do dysku na stacjach Windows

Od lipca 2014 wszystkie dane z katalogów domowych są przechowywane na nowej macierzy, dostęp po zalogowaniu jest zapewniony przez dysk H:. Pulpit i Moje Dokumenty są mapowane właśnie na ten dysk w podkatalogu Windows7. Profile tymczasowo nadal znajdują się na starej macierzy, nie wolno danych profilu traktować jako bezpiecznych. Oddzielnie mapowane są dyski z kontami nauczycieli (T:) i studentów (S:), dostęp możliwy jest tylko do tych katalogów, które zostały udostępnione.

Dostęp do dysku na stacjach ARCH Linuks

Na stacjach roboczych dostęp jest niejako naturalny gdyż dysk sieciowy jest podłączony podczas startu systemu i katalog domowy w systemie jest już mapowany na ten dysk.

Można także przeglądać katalogi innych studentów, są mapowane do katalogu /home/samba oraz nauczycieli /home2/samba (oczywiście nic nie można zobaczyć jeżeli nie zostało przyznane odpowiednie prawo do katalogów i plików przez ich właściciela).

Dostęp do dysku spoza wydziału

Dysk jest dostępny zewnętrznie tylko poprzez szyfrowany protokół sftp pod adresem sftp:\\drive.mini.pw.edu.pl.. Istnieje bardzo dużo wygodnych programów do obsługi tego protokołu zarówno dla systemów Windows, Linux jak i dla urządzeń mobilnych Android i iOS. Osobom mniej zaawansowanym technicznie można polecić WinSCP pod Windows lub rozszerzenia przeglądarek takie jak FireFTP dla
Firefox’a. Oczywiście wszystkie te narzędzia wymagają podania 3 ważnych informacji:

  • Protokołu komunikacji (sftp, nie scp, nie ftp i nie ftps)
  • Loginu wydziałowego
  • Hasła wydziałowego

Poprzez sftp możliwy jest także dostęp do katalogów innych osób, które udostępniają dane poprzez uprawnienia do plików i katalogów a także do danych archiwalnych.

Dysk nie jest dostępny przez całą dobę. O godzinie 23.00 następuje krótka (kilkuminutowa) przerwa na wykonanie tzw. migawki dysku do celu archiwizacji danych. W sobotę przerwa ta jest znacznie dłuższa (1-2 godziny) – system przeprowadza sprawdzenie spójności systemu plików i poprawności naliczeń limitów dyskowych.

Dostęp do sftp spoza wydziału podlega licznym zabezpieczeniom i limitom ze względu na ataki sieciowe. Oto co muszą Państwo wiedzieć aby nie zostać zaskoczonym brakiem dostępu (zwłaszcza 2 pierwsze punkty):

  • Dostęp do sftp jest limitowany do Polskiej części Internetu, z zagranicy nie można bezpośrednio uzyskać dostępu. Sposób określenia co jest Polską częścią jest dość trudny, bazujemy na liście zakresów IP polskich dostawców ISP zebranej od studentów. Jeśli nie udaje się połączyć z usługą proszę sprawdzić swój adres IP (np na tej stronie:http://www.moje-ip.eu/) i przesłać go administratorowi usługi (mail na górze strony). Dostęp zostanie dodany dla całej podsieci.
  • Błędne podanie loginu lub hasła 3 razy w ciągu 10 minut skutkuje blokada otwierania nowych połączeń z usługą na pół godziny. Jest to niezbędne aby spowolnić ataki słownikowe na Państwa hasła. Blokada dotyczy tylko adresu z którego wykonano nieudane próby.
  • Zbyt częste nawiązywanie połączeń z jednego adresu IP jest blokowane. Maksymalnie można tworzyć do 10 połączeń na minutę. Normalnie tworzymy jedno i limit nie ma żadnego znaczenia ale jeśli ktoś utworzy repozytorium np. SVN to ten limit będzie go ograniczał. Jeśli komputer osoby łączącej się jest za NAT’em w którym więcej osób łączy się z sftp to mają ten limit wspólny. Jest to element obrony przed atakiem typu DOS
  • Wszystkie połączenia z sftp nie mogą być nawiązywane szybciej niż 20/sekundę, dotyczy to wszystkich adresów połączeń i ma na celu ograniczać skutki ataków DOS i DDOS. Może się to objawiać wydłużonym czasem połączenia z usługą.

Dane Archiwalne (1,2 i 3 dni wstecz)

Poprzez system „migawki” na dysku sieciowym mamy możliwość dostępu do danych archiwalnych sprzed 1,2 i 3 dni. Takie migawki przedstawiają stan dysku o godzinie 23.00 danego dnia. Można w ten sposób odzyskać starsze wersje dokumentu lub skasowane pliki (o ile istniały one w momencie migawki).

Dostęp do danych archiwalnych możliwy jest tylko poprzez protokół sftp (metodę dostępu znajdą Państwo sekcję tekstu wyżej). Aby dostać się do archiwum po zalogowaniu się na swoje konto należy:

  1. Przejść do korzenia drzewa folderów (np. polecenie: cd /)
  2. Wybrać interesujący nas dzień poprzez przejście do katalogu day-1, day-2 lub day-3 gdzie ten ostatni jest najstarszym archiwum (np. polecenie: cd day-1)
  3. Katalogi studentów znajdują się w folderze „stud” a pracowników w folderze prac, należy wybrać interesujący nas katalog (np. plecenie: cd stud)
  4. Na koniec wystarczy przejść do swojego katalogu (np. polecenie: cd LOGIN)

Dostęp do danych innych użytkowników w archiwum jest taki, jaki był w momencie wykonania „migawki”. Dla przykładu, jeżeli ktoś udostępniał nam dane wczoraj (a konkretnie były dostępne o 23.00) to będą one dla nas dostępne także w archiwum „day-1” dziś.

ww2