假如勒索病毒有机会进入 nas 共享空间里，如果保证挂载该空间的其他电脑的数据安全？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

请不要把任何和邀请码有关的内容发到 NAS 节点。

邀请码相关的内容请使用 /go/in 节点。

如果没有发送到 /go/in，那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动，会导致账号被禁用。

这是一个创建于 739 天前的主题，其中的信息可能已经有所发展或是发生改变。

我理解 vpn 之类的只是保证信道的安全，一旦有人为因素导致病毒进入，如何把损失降到最小？ PS：自建 nas(truenas...

第 1 条附言 · 2022-11-01 15:08:46 +08:00

感谢大家回复，暂时打算用 clamAV 扫描做一层防护

NAS

病毒

truenas

VPN

18 条回复 • 2022-11-08 14:45:51 +08:00

alanying

2022-11-01 09:50:20 +08:00

病毒的发作得有个进程运行着。

网上邻居的电脑不主动去运行相关进程，就只能看到被加密的文件吧，甚至 NAS 的 SMB 服务都嗝屁了。

当然最好的就是 Win 、Mac 、Linux 分开，这样不同的内核互相都运行不起来互相的毒。

paopjian

2022-11-01 10:00:59 +08:00

建议 nas 网络隔离外网

fiveStarLaoliang

2022-11-01 10:19:40 +08:00

nas 加入防火墙，使用白名单登录，强制使用密钥登录，登录端口改为非标准端口，基本就隔离了 99%的黑客了

opengps

2022-11-01 10:53:05 +08:00

1 ，先保证不损坏，对外 nas 帐号只读，需要写入或者新增时候每次单独启用高权限帐号
2 ，对外访问做管控，出方向做安全限制，只流向自己许可的方向（很多人只知道入方向的安全管控，没重点思考过出方向的用法，这个场景里就很实用）这样可能恶意脚本即使已经进入了你系统里，但是脚本运行时候无法拉取真正使坏的勒索加密程序，做到了数据不被加密

XiLingHost

2022-11-01 11:10:37 +08:00

每天备份到磁带

AkaGhost

2022-11-01 11:20:37 +08:00 via Android

TrueNAS 我记得

AkaGhost

2022-11-01 11:21:07 +08:00 via Android

TrueNAS 我记得可以配置 SSH 服务的开关，把 SSH 关了，再定期异地备份，基本没问题

AkaGhost

2022-11-01 11:24:17 +08:00 via Android

@alanying 假设客户机的 OS 被感染，极有可能通过 SMB 之类的服务直接对文件加密… NAS 关闭 shell 功能和权限之后配合 ZFS 快照和异地 /离线备份，一般就差不多了

NewYear

2022-11-01 11:28:51 +08:00

这个问题很难解。

我这边的情况是用户映射了共享文件夹到驱动器，理论上病毒木马可以直接写入，而群晖的“回收站”机制只针对删除，也就是病毒加密后以覆盖的方式写入，群晖的回收站根本不会起作用，导致文件被加密不可逆。就目前而言，已经有发现有人电脑中毒后，自动往网盘里写 autorun.inf 机制的病毒，还具有自我保护，基本上删除文件后可以数秒内还原。

甚至我这边引入了第二台群晖，对群晖 1 做实时备份，但是受限于“回收站”机制，同样会被病毒覆盖。

我想到的方法 2 种，实时备份+差异备份，定时备份+多个版本，能恢复到任意版本。
这时候我就会想起，用 Windows 做共享文件夹，通过卷影技术，才能简单粗暴的完美防范。用 Windows 做共享除了改权限的时候不爽，其他方面其实都挺不错的，特别是这个卷影技术，完美克制勒索病毒。

群晖这里一直没想到什么好办法，感觉完全是个地雷。

定时备份也不可行，文件夹内容太多，遍历每个文件夹要花超级长的时间，影响性能，因此只能在闲时执行，但闲时可能也不够……
思考了很久，可能通过监视写入+手写脚本+恢复程序(主要是操作要方便一些)才能达到比较理想的状态。囧的是，对 linux 系的脚本不熟悉，没心思去折腾。。等以后吧。

NewYear

2022-11-01 11:30:39 +08:00

提炼版：
1.不用 NAS ，用 Windows Server 配合卷影技术，完美规避。
2.通过第三方软件或自写脚本，监视写入+备份，要存多个版本，出问题可以恢复。