假如勒索病毒有机会进入 nas 共享空间里,如果保证挂载该空间的其他电脑的数据安全?

2022-11-01 09:42:51 +08:00
 ElCorazon

我理解 vpn 之类的只是保证信道的安全,一旦有人为因素导致病毒进入,如何把损失降到最小? PS:自建 nas(truenas...

3427 次点击
所在节点    NAS
18 条回复
alanying
2022-11-01 09:50:20 +08:00
病毒的发作得有个进程运行着。

网上邻居的电脑不主动去运行相关进程,就只能看到被加密的文件吧,甚至 NAS 的 SMB 服务都嗝屁了。

当然最好的就是 Win 、Mac 、Linux 分开,这样不同的内核互相都运行不起来互相的毒。
paopjian
2022-11-01 10:00:59 +08:00
建议 nas 网络隔离外网
fiveStarLaoliang
2022-11-01 10:19:40 +08:00
nas 加入防火墙,使用白名单登录,强制使用密钥登录,登录端口改为非标准端口,基本就隔离了 99%的黑客了
opengps
2022-11-01 10:53:05 +08:00
1 ,先保证不损坏,对外 nas 帐号只读,需要写入或者新增时候每次单独启用高权限帐号
2 ,对外访问做管控,出方向做安全限制,只流向自己许可的方向(很多人只知道入方向的安全管控,没重点思考过出方向的用法,这个场景里就很实用)这样可能恶意脚本即使已经进入了你系统里,但是脚本运行时候无法拉取真正使坏的勒索加密程序,做到了数据不被加密
XiLingHost
2022-11-01 11:10:37 +08:00
每天备份到磁带
AkaGhost
2022-11-01 11:20:37 +08:00
TrueNAS 我记得
AkaGhost
2022-11-01 11:21:07 +08:00
TrueNAS 我记得可以配置 SSH 服务的开关,把 SSH 关了,再定期异地备份,基本没问题
AkaGhost
2022-11-01 11:24:17 +08:00
@alanying 假设客户机的 OS 被感染,极有可能通过 SMB 之类的服务直接对文件加密… NAS 关闭 shell 功能和权限之后配合 ZFS 快照和异地 /离线备份,一般就差不多了
NewYear
2022-11-01 11:28:51 +08:00
这个问题很难解。

我这边的情况是用户映射了共享文件夹到驱动器,理论上病毒木马可以直接写入,而群晖的“回收站”机制只针对删除,也就是病毒加密后以覆盖的方式写入,群晖的回收站根本不会起作用,导致文件被加密不可逆。就目前而言,已经有发现有人电脑中毒后,自动往网盘里写 autorun.inf 机制的病毒,还具有自我保护,基本上删除文件后可以数秒内还原。

甚至我这边引入了第二台群晖,对群晖 1 做实时备份,但是受限于“回收站”机制,同样会被病毒覆盖。


我想到的方法 2 种,实时备份+差异备份,定时备份+多个版本,能恢复到任意版本。
这时候我就会想起,用 Windows 做共享文件夹,通过卷影技术,才能简单粗暴的完美防范。用 Windows 做共享除了改权限的时候不爽,其他方面其实都挺不错的,特别是这个卷影技术,完美克制勒索病毒。

群晖这里一直没想到什么好办法,感觉完全是个地雷。

定时备份也不可行,文件夹内容太多,遍历每个文件夹要花超级长的时间,影响性能,因此只能在闲时执行,但闲时可能也不够……
思考了很久,可能通过监视写入+手写脚本+恢复程序(主要是操作要方便一些)才能达到比较理想的状态。囧的是,对 linux 系的脚本不熟悉,没心思去折腾。。等以后吧。
NewYear
2022-11-01 11:30:39 +08:00
提炼版:
1.不用 NAS ,用 Windows Server 配合卷影技术,完美规避。
2.通过第三方软件或自写脚本,监视写入+备份,要存多个版本,出问题可以恢复。
kyuuseiryuu
2022-11-01 11:31:38 +08:00
😂怎么又是“如何”打成“如果”的
superrichman
2022-11-01 12:12:13 +08:00
装杀毒软件
lithiumii
2022-11-01 12:23:41 +08:00
@NewYear 增量的快照呗
aeli
2022-11-01 13:24:03 +08:00
异地异设备备份
qzwmjv
2022-11-01 13:59:52 +08:00
多设备,多副本,只写静态备份
每小时往其他设备快照一次,
a8500830
2022-11-02 00:28:49 +08:00
先说后果吧,win 中了勒索病毒,连带三个 nas 盘所有文件被改后缀。结局:格盘
wizardyhnr
2022-11-02 01:41:38 +08:00
客户端中毒了确实很难处理。

nas 一般都是类 Unix 系统,好像也可以在 nas 上创建一个文件夹做写缓冲,客户端只能读写这个文件夹,其他文件夹都只能读。往 nas 写数据要多一步 ssh 后手动 mv 到其它文件夹来隔离客户端的影响。
GrayXu
2022-11-08 14:45:51 +08:00
zfs snapshot 完事。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/891646

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX