假如勒索病毒有机会进入 nas 共享空间里，如果保证挂载该空间的其他电脑的数据安全？

病毒的发作得有个进程运行着。

网上邻居的电脑不主动去运行相关进程，就只能看到被加密的文件吧，甚至 NAS 的 SMB 服务都嗝屁了。

当然最好的就是 Win 、Mac 、Linux 分开，这样不同的内核互相都运行不起来互相的毒。

建议 nas 网络隔离外网

nas 加入防火墙，使用白名单登录，强制使用密钥登录，登录端口改为非标准端口，基本就隔离了 99%的黑客了

1 ，先保证不损坏，对外 nas 帐号只读，需要写入或者新增时候每次单独启用高权限帐号
2 ，对外访问做管控，出方向做安全限制，只流向自己许可的方向（很多人只知道入方向的安全管控，没重点思考过出方向的用法，这个场景里就很实用）这样可能恶意脚本即使已经进入了你系统里，但是脚本运行时候无法拉取真正使坏的勒索加密程序，做到了数据不被加密

每天备份到磁带

TrueNAS 我记得

TrueNAS 我记得可以配置 SSH 服务的开关，把 SSH 关了，再定期异地备份，基本没问题

@alanying 假设客户机的 OS 被感染，极有可能通过 SMB 之类的服务直接对文件加密… NAS 关闭 shell 功能和权限之后配合 ZFS 快照和异地 /离线备份，一般就差不多了

这个问题很难解。

我这边的情况是用户映射了共享文件夹到驱动器，理论上病毒木马可以直接写入，而群晖的“回收站”机制只针对删除，也就是病毒加密后以覆盖的方式写入，群晖的回收站根本不会起作用，导致文件被加密不可逆。就目前而言，已经有发现有人电脑中毒后，自动往网盘里写 autorun.inf 机制的病毒，还具有自我保护，基本上删除文件后可以数秒内还原。

甚至我这边引入了第二台群晖，对群晖 1 做实时备份，但是受限于“回收站”机制，同样会被病毒覆盖。


我想到的方法 2 种，实时备份+差异备份，定时备份+多个版本，能恢复到任意版本。
这时候我就会想起，用 Windows 做共享文件夹，通过卷影技术，才能简单粗暴的完美防范。用 Windows 做共享除了改权限的时候不爽，其他方面其实都挺不错的，特别是这个卷影技术，完美克制勒索病毒。

群晖这里一直没想到什么好办法，感觉完全是个地雷。

定时备份也不可行，文件夹内容太多，遍历每个文件夹要花超级长的时间，影响性能，因此只能在闲时执行，但闲时可能也不够……
思考了很久，可能通过监视写入+手写脚本+恢复程序(主要是操作要方便一些)才能达到比较理想的状态。囧的是，对 linux 系的脚本不熟悉，没心思去折腾。。等以后吧。

提炼版：
1.不用 NAS ，用 Windows Server 配合卷影技术，完美规避。
2.通过第三方软件或自写脚本，监视写入+备份，要存多个版本，出问题可以恢复。

😂怎么又是“如何”打成“如果”的

装杀毒软件

@NewYear 增量的快照呗

异地异设备备份

多设备，多副本，只写静态备份
每小时往其他设备快照一次，

先说后果吧，win 中了勒索病毒，连带三个 nas 盘所有文件被改后缀。结局：格盘

客户端中毒了确实很难处理。

nas 一般都是类 Unix 系统，好像也可以在 nas 上创建一个文件夹做写缓冲，客户端只能读写这个文件夹，其他文件夹都只能读。往 nas 写数据要多一步 ssh 后手动 mv 到其它文件夹来隔离客户端的影响。

zfs snapshot 完事。