nas vor ransomware (locky) schützen

downloadzacc

Cadet 4th Year
Registriert
Aug. 2015
Beiträge
121
nas vor ransomware (locky) schützen [solved]

Hallo liebes forum,
ich habe einen nas 24/7 in betrieb und möchte nun sicherstellen, dass nicht das ganze teil verschlüsselt wird, wenn ich mir mal irgend einen scheiss einfange.

clients sind 3x linux 1x win7

schreiben muss ich nur von dem win7 rechner, alle anderen müssen nur lesen können.

kann ich mittels der userverwaltung zugriffe sperren?
es gibt einen user "acronis" der alle paar tage ein backup auf dem nas speichern soll. das ist ein eigenständiger account, der nur lese und schreibzugriff hat.

kann locky, bzw. andere ransomware meinen nas verschlüsseln, wenn ich mit user "hans" angemeldet bin?
(acronis user wird automatisch von acronis gestartet und beendet, damit wird sonst nichts anderes gemacht)
 
Zuletzt bearbeitet:
Wenn "hans" Schreibechte hat, dann wahrscheinlich schon. Das müsstest du in der Userverwaltung konfigurieren können.
 
Locky kann, wenn wer auf dem Windows Rechner läuft, jedes Netzwerkshare verschlüsseln, auf das der aktuelle User Schreibrechte hat. Dazu muss das Netzlaufwerk nicht verbunden werden. Wenn auf das Backup nur User Acronis Zugriff hat, kann Locky darauf nur schreiben, wenn Locky auch im Userkontext mit den entsprechenden Rechten laufen würde.

Zur Sicherheit die NAS noch auf ne USB-Platte sichern lassen, auf die ein NAS-exklusiver Account Zugriff hat, den Windows also überhaupt nicht kennt.

Und generell Macros von überhaupt nur aus vertrauenswürdigen Quellen und mit Nachfrage erlauben und nicht jeden Emailanhang blind öffnen bzw. neuerdings auch Drive-By-Downloads manipulierter Webseiten achten (noscript hilft da recht zuverlässig).
 
oh das ging ja fix....
ich denke, was sicherheit angeht mit angängen etc. sollte ich mir keine sorgen machen. alles was kritisch ist läuft in einer eigenen VM und ist via xen mit nem abgekapselten OS verbunden, das passt soweit.
ich hab nur kein bock dass mir doch mal was durchgeht, was ich ales vertrauenswürdig einstufe... kumpel kommt mit nem usb stick vorbei oder so....

also damit ich es wirklich unmissverständlich verstehe. nur user acronis hat schreibrechte, sonst niemand.
user acronis wird nur von programm acronis gestartet und beendet. kein surfen nichts dergleichen.

für die tägliche arbeit logge ich mich mit hans ein.

hans wurde jetzt doch irgendwie kompromitiert.

könnte der nas verschlüsselt werden?

vom nas nochmal nen backup zu machen ist zu doll... da sind 4x 3tb platten drin im raid 5 oder so..... keine ahnung. läuft auf freenas. ist zu viel gefrickel da nochmal nen backup von zu machen auf ner externen hdd. OS von freenas mit der konfig ist schon redundant
 
Höchstens der Bereich, worauf acronis Schreibrechte hat oder - theoretisch - sollte es eine NAS-Sicherheitslücke, womit Schreibrechte eingeholt werden können.

Ich würde auch noch, sofern das NAS es kann, Papierkörbe für die NAS-Ordner einrichten und den Zugriff darauf nur dem NAS-Admin gestatten. Nicht nur bei Verschlüsselungen eine guter Rettungsanker.

Ansonsten klingt der letzte Absatz so, als wenn du die Daten nur auf dem NAS hast. Halte ich im Bezug auf die Datensicherheit nicht gerade für optimal.
 
Zuletzt bearbeitet:
M@rsupil@mi schrieb:
Ansonsten klingt der letzte Absatz so, als wenn du die Daten nur auf dem NAS hast. Halte ich im Bezug auf die Datensicherheit nicht gerade für optimal.

Eben. Da gehört noch ein zusätzliches Backup dran. Das ist dann auch vor Locky sicher, da dort nur von der vermutlich Linux-basierten NAS geschrieben wird.
 
M@rsupil@mi schrieb:
Höchstens der Bereich, worauf acronis Schreibrechte hat oder - theoretisch - sollte es eine NAS-Sicherheitslücke, womit Schreibrechte eingeholt werden können.

Ich würde auch noch, sofern das NAS es kann, Papierkörbe für die NAS-Ordner einrichten und den Zugriff darauf nur dem NAS-Admin gestatten. Nicht nur bei Verschlüsselungen eine guter Rettungsanker.

Ansonsten klingt der letzte Absatz so, als wenn du die Daten nur auf dem NAS hast. Halte ich im Bezug auf die Datensicherheit nicht gerade für optimal.

mit den papierkörpen ist ne top idee, auch snapshots werden im 3 tagesabstand inkrementell in 3 instanzen gespeichert.werd mir mal die berechtigungen ansehen.

wichtige daten sind nur ein paar gigabyte. die sind auf ner ssd, aufm nas und nochmal auf ner externen hdd.
der nas ist lediglich als datengrab für dinge, die ich nicht oft nutze, aber auch nicht verlieren will + backup für die ganzen rechner.
hab kein bock mich selbst um backups zu kümmern... ich mach es ja dann doch wieder nicht oder vergesse es
Ergänzung ()

hrafnagaldr schrieb:
Eben. Da gehört noch ein zusätzliches Backup dran. Das ist dann auch vor Locky sicher, da dort nur von der vermutlich Linux-basierten NAS geschrieben wird.

uffff... ne das ist mir zu doll... nach 2 facher redundanz muss irgendwann auch mal gut sein.
es ist nen absoluter krampf bei freenas noch platten via usb einzubinden, dauerhaft. sata ports sind leider alle 4 belegt mit den hdds.
umbauen möchte ich auch nicht mehr. das system läuft ja so ziemlich gut.

ich werde das mit den rechtne mal prüfen und hoffen, es passt.

so ein script wäre geil, womit man bestätigen muss, dass bei x MB änderungen in einer bestimmten zeit, den weiteren vorgang nochmals absegnen muss....
 
LEUTE, bitte, es sollte doch wohl jeder inzwischen wissen, dass man sich vor Datenverlust nur mit einem (möglichst aktuellen) Backup helfen kann.

Du sprichst von Sicherheit und Redundanz.

RAID erhöht nie die Datensicherheit, sondern nur die Datenverfügbarkeit! Ich höre häufig diesen Widerspruch bei Usern raus:

"das ist nur ein Datengrab mit nicht so wichtigem Zeug, verlieren möchte ich es aber trotzdem nicht." Das passt so nicht, ja was denn nun?!?!

Backups gehören außerdem separat gelagert und nicht permanent an und am Netz.

Mein Paradebeispiel ist da immer der klassische Blitzeinschlag, oder Du hast einen krassen Netzteilfehler in Deinem NAS. Im schlimmsten Fall geht die Kiste einfach aus und alle Platten, die drin sind/waren, sind danach kaputt. Was dann?

RAID in allen Ehren, aber es erhöht nie die Datensicherheit, sondern nur die Verfügbarkeit, bitte merken!

Was Locky angeht:

Der krallt sich alles, wo er schreibend drauf zugreifen kann. Unterbindest Du das mit entsprechenden Rechte-Set auf den Files, kann NICHTS passieren. Trotzdem:

Daten, die man nicht verlieren möchte, MÜSSEN auf einem separaten Medium gesichert werden.

Trust me.... please... ;)
 
@LeChuckie
Er hat nie von RAID gesprochen. Er hat höchstens das Wort Redundanz in falschem Kontext verwendet. Seine wichtigen Daten sind 3 mal vorhanden. Einmal auf der SSD, dann auf dem NAS und zusätzlich noch auf einer externen Festplatte. Es wurde nirgends der Begriff
RAID verwendet.

""das ist nur ein Datengrab mit nicht so wichtigem Zeug, verlieren möchte ich es aber trotzdem nicht." Das passt so nicht, ja was denn nun?!?!"
Das passt schon. Es ist nicht alles schwarz/weiß. Das Zeug ist zwar nicht so wichtig, aber es wäre doof, wenn es weg wäre. Wenn es weg wäre, wäre es halt doof. Aber halt nicht so doof, dass er sich nun den Aufwand machen würde, es nochmals zu sichern. Er ist sich des Risikos bewusst. Ein Beispiel wäre eine Sammlung von Youtube-Videos. Wäre doof, wenn die weg sind, aber mir wäre es der Speicherplatz nicht wert sie zu sichern. Ich hätte aber erhöhten Aufwand sie wiederzubeschaffen.

Allgemein sind deine Aussagen alle natürlich richtig, aber nicht ganz passend, da RAID kein Thema war und wichtige Daten auf der externen Festplatte scheinbar nicht dauerhaft am Rechner sind. Letzter Punkt wäre natürlich was anderes, wenn die externe Festplatte direkt und dauerhaft am NAS hängt.
 
Zuletzt bearbeitet: (Beitrag wiederhergestellt)
@creati

downloadzacc schrieb:
vom nas nochmal nen backup zu machen ist zu doll... da sind 4x 3tb platten drin im raid 5 oder so..... keine ahnung. läuft auf freenas. ist zu viel gefrickel da nochmal nen backup von zu machen auf ner externen hdd. OS von freenas mit der konfig ist schon redundant

;)
 
Oha, irgendwie ist das untergegangen.Danke für den Hinweis :)
 
Zuletzt bearbeitet:
recht hattest du ja eigentlich schon @creati

das raid ist nur gegen ausfall, jedoch nicht als redundantes backup ansich gemeint.

naja egal, frage wurde beantwortet. vielen Dank
 

Ähnliche Themen

Zurück
Oben