不是高手,不過分享一下我自己15年開始用到現在還沒有被打過
我的NAS基本上
1. 不放在DMZ,不直接連PPPoE,對外也不公開任何可以直連NAS的服務(如NAS的web)
2. 所有對外服務都經過docker當sandbox,也就是port forwarding直接到特定的docker
3. 所有well-known port都關閉或挪作它用
4. 所有內網的電腦對NAS皆唯讀,只有NAS可以主動備份各電腦
5. 新版韌體有重要CVE會在release兩週左右更新,沒有的話就等一個月沒災情再說
6. 所有內網實體電腦都開啟防火牆允許實際會使用的服務跟掃毒軟體
7. 異地備份以reverse ssh proxy + rsync執行,ssh的交握不允許password
大多數的ssh key也都專用不互相信任
目前看下來是基地台常常被掃port,但因為我不用固定ip只用ddns,所以掃了也沒啥用
NAS上的內建防火牆則完全沒看過被亂測的log。docker上是有看到一些異常連線紀錄
但大概也就試一試進不來就沒再看過了
這樣在某些人眼中還不算嚴謹,但人總是有惰性所以這樣對我來說還算可以
然後最近有感受到RAID1也不完全算是備份,因為我在RAID1上也是跑了簡單的小服務
剛好有天斷電,就發現那段資料在RAID的scrubbing也救不回來,還好不是什麼重要
的,直接砍掉重練
只是比起常常會連到外網的電腦我還是比較相信外網不能直連的NAS
還有比起會刪My Documents的Windows.....XD
※ 引述《hans7192 (Hans)》之銘言:
: 原文全刪 推文中有人提到勒索病毒
: 不久前我就中了 剛好可以分享一下 先上圖
: https://imgur.com/ZdvWsFM
: 當初買NAS的用意是希望用最簡單的方式能達到最基本的備份保護
: 就像把照片從D槽COPY到E槽這樣而已
: 以及放藍光電影可以讓房間mac mini當隨選電影就像MOTEL的VOD
: 現在被駭客利用漏洞大規模攻擊下
: jpg檔全死 fuji的raw檔也死 nikon的raw檔跟藍光mkv檔沒事
: fuji是後期的相機 這2年的照片在桌機還有 損失的就17-18年照片
: 目前做法打算用單顆硬碟開機 將另一顆接桌機format成ntfs
: 再搬移資料 搬完後再format另一顆 用windows 做raid 1就好
: 不再用nas
: 如果你沒有想要做異地存取資料可以不用買nas
: 只是想要做"最簡單的方式達到最基本的備份保護"
: windows raid 1就好
: 備份保護越高級 錢跟手法是天秤 自己衡量
--
All Comments