V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
ElCorazon
V2EX  ›  NAS

假如勒索病毒有机会进入 nas 共享空间里,如果保证挂载该空间的其他电脑的数据安全?

  •  
  •   ElCorazon · 2022-11-01 09:42:51 +08:00 via iPhone · 3481 次点击
    这是一个创建于 783 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我理解 vpn 之类的只是保证信道的安全,一旦有人为因素导致病毒进入,如何把损失降到最小? PS:自建 nas(truenas...

    第 1 条附言  ·  2022-11-01 15:08:46 +08:00
    感谢大家回复,暂时打算用 clamAV 扫描做一层防护
    18 条回复    2022-11-08 14:45:51 +08:00
    alanying
        1
    alanying  
       2022-11-01 09:50:20 +08:00
    病毒的发作得有个进程运行着。

    网上邻居的电脑不主动去运行相关进程,就只能看到被加密的文件吧,甚至 NAS 的 SMB 服务都嗝屁了。

    当然最好的就是 Win 、Mac 、Linux 分开,这样不同的内核互相都运行不起来互相的毒。
    paopjian
        2
    paopjian  
       2022-11-01 10:00:59 +08:00   ❤️ 1
    建议 nas 网络隔离外网
    fiveStarLaoliang
        3
    fiveStarLaoliang  
       2022-11-01 10:19:40 +08:00
    nas 加入防火墙,使用白名单登录,强制使用密钥登录,登录端口改为非标准端口,基本就隔离了 99%的黑客了
    opengps
        4
    opengps  
       2022-11-01 10:53:05 +08:00
    1 ,先保证不损坏,对外 nas 帐号只读,需要写入或者新增时候每次单独启用高权限帐号
    2 ,对外访问做管控,出方向做安全限制,只流向自己许可的方向(很多人只知道入方向的安全管控,没重点思考过出方向的用法,这个场景里就很实用)这样可能恶意脚本即使已经进入了你系统里,但是脚本运行时候无法拉取真正使坏的勒索加密程序,做到了数据不被加密
    XiLingHost
        5
    XiLingHost  
       2022-11-01 11:10:37 +08:00
    每天备份到磁带
    AkaGhost
        6
    AkaGhost  
       2022-11-01 11:20:37 +08:00 via Android
    TrueNAS 我记得
    AkaGhost
        7
    AkaGhost  
       2022-11-01 11:21:07 +08:00 via Android
    TrueNAS 我记得可以配置 SSH 服务的开关,把 SSH 关了,再定期异地备份,基本没问题
    AkaGhost
        8
    AkaGhost  
       2022-11-01 11:24:17 +08:00 via Android
    @alanying 假设客户机的 OS 被感染,极有可能通过 SMB 之类的服务直接对文件加密… NAS 关闭 shell 功能和权限之后配合 ZFS 快照和异地 /离线备份,一般就差不多了
    NewYear
        9
    NewYear  
       2022-11-01 11:28:51 +08:00
    这个问题很难解。

    我这边的情况是用户映射了共享文件夹到驱动器,理论上病毒木马可以直接写入,而群晖的“回收站”机制只针对删除,也就是病毒加密后以覆盖的方式写入,群晖的回收站根本不会起作用,导致文件被加密不可逆。就目前而言,已经有发现有人电脑中毒后,自动往网盘里写 autorun.inf 机制的病毒,还具有自我保护,基本上删除文件后可以数秒内还原。

    甚至我这边引入了第二台群晖,对群晖 1 做实时备份,但是受限于“回收站”机制,同样会被病毒覆盖。


    我想到的方法 2 种,实时备份+差异备份,定时备份+多个版本,能恢复到任意版本。
    这时候我就会想起,用 Windows 做共享文件夹,通过卷影技术,才能简单粗暴的完美防范。用 Windows 做共享除了改权限的时候不爽,其他方面其实都挺不错的,特别是这个卷影技术,完美克制勒索病毒。

    群晖这里一直没想到什么好办法,感觉完全是个地雷。

    定时备份也不可行,文件夹内容太多,遍历每个文件夹要花超级长的时间,影响性能,因此只能在闲时执行,但闲时可能也不够……
    思考了很久,可能通过监视写入+手写脚本+恢复程序(主要是操作要方便一些)才能达到比较理想的状态。囧的是,对 linux 系的脚本不熟悉,没心思去折腾。。等以后吧。
    NewYear
        10
    NewYear  
       2022-11-01 11:30:39 +08:00
    提炼版:
    1.不用 NAS ,用 Windows Server 配合卷影技术,完美规避。
    2.通过第三方软件或自写脚本,监视写入+备份,要存多个版本,出问题可以恢复。
    kyuuseiryuu
        11
    kyuuseiryuu  
       2022-11-01 11:31:38 +08:00 via iPhone
    😂怎么又是“如何”打成“如果”的
    superrichman
        12
    superrichman  
       2022-11-01 12:12:13 +08:00 via Android
    装杀毒软件
    lithiumii
        13
    lithiumii  
       2022-11-01 12:23:41 +08:00
    @NewYear 增量的快照呗
    aeli
        14
    aeli  
       2022-11-01 13:24:03 +08:00
    异地异设备备份
    qzwmjv
        15
    qzwmjv  
       2022-11-01 13:59:52 +08:00
    多设备,多副本,只写静态备份
    每小时往其他设备快照一次,
    a8500830
        16
    a8500830  
       2022-11-02 00:28:49 +08:00 via iPhone
    先说后果吧,win 中了勒索病毒,连带三个 nas 盘所有文件被改后缀。结局:格盘
    wizardyhnr
        17
    wizardyhnr  
       2022-11-02 01:41:38 +08:00
    客户端中毒了确实很难处理。

    nas 一般都是类 Unix 系统,好像也可以在 nas 上创建一个文件夹做写缓冲,客户端只能读写这个文件夹,其他文件夹都只能读。往 nas 写数据要多一步 ssh 后手动 mv 到其它文件夹来隔离客户端的影响。
    GrayXu
        18
    GrayXu  
       2022-11-08 14:45:51 +08:00
    zfs snapshot 完事。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1008 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:18 · PVG 04:18 · LAX 12:18 · JFK 15:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.