Comments 10
Купите NAS и не пользуйтесь его сетевыми функциями, используйте его как DAS, подключив к надежному Windows-серверу - ржунимагу, какой бред.
ну такой вариант (как подмонтировать NAS в качестве диска под Win и расшарить уже его) имеет право на жизнь. Нас, например, от шифровальщика спасло наличие теневой копии средствами Win - полчаса и все откатили (ну естественно после деактивации шифровальщика). А если NAS использовать как бэкап - то лучше софту-бэкапщику дать отдельную учетку только с доступом к NAS, а остальным запретить. И еще - думается мне, что на нормальных NAS-ах теневая копия таки реализована (давно с ними близко не работал - я больше по SAN-ам :) )
Если вам проще все делать средствами Windows - то, внезапно, DAS будет еще и существенно дешевле. А так просто не нужно путать файлопомойку и средства инкрементального бэкапа, резервные копии данных с NAS не должны лежать на нем самом же, для оперативного доступа к данным одна железка, для бэкапов - другая (в идеале еще offsite backup c инкрементальными бэкапами месяца так за 3-4).
Зы: то ли у нас пользователи были правильно надрессированы, то ли инфраструктура грамотно спроектирована, но за 12 лет не было ни вирусов, ни шифровальщиков, ни потери данных...
И где он будет хранить пароль для автономной работы по расписанию? Или все бэкапы делать исключительно ручками и только с 2FA (а то ж троянец может и клавиатуру логировать)? Если ручками то проще уж DAS который физически отключается после бэкапа.
Лучше организовать write-only бэкап, когда можно только создавать новые файлы (что-то типа ZFS/BTRFS отлично дедуплицирует), а для восстановления и удаления нужная ручная авторизация (с 2FA). Удаление, впрочем, можно сделать и по расписанию но на самом NAS.
Можно вариант с "вытягиванием" - файлы бэкапа создаются на локальной машине в определенном каталоге, к которому имеет доступ NAS, и откуда он их забирает по расписанию.
Само хранилище бэкапов на NAS при этом из сети недоступно.
"Само хранилище бэкапов на NAS при этом из сети недоступно. "
Ну или доступно в режиме чтения.
Как вариант, да, но я, как настоящий параноик, стараюсь максимально скрыть бэкап ;)
Светящаяся в сети шара, пусть даже и только для чтения - повод для хакеров попробовать на этом устройстве эксплойты. Или это перебор уже?
Скажем, насколько реально вскрыть компьютер на Debian с регулярно устанавливаемыми апдейтами? Если из сетевых сервисов на нем nginx, samba, и kodi?
Комментарий более полезный, чем вся статья, которая чуть менее чем полностью состоит из воды :)
У меня NAS делает снапшоты средствами Btrfs. Если начать шифровать файлы, очень быстро закончится свободное место.
Как NAS защитить от программ-вымогателей?