減輕對共享 SAMBA 伺服器的 Cryptolocker 控制
我有一個客戶最近被 Cryptolocker 的一個非常新的變體擊中。不幸的是,被擊中的使用者對系統具有高級別的訪問權限。顯然沒有教育一些人。
我突然想到,如果可以在寫入每個文件時(但在之前)複製每個文件(例如到 SSD 上),並在這些文件在一夜之間老化時將其刪除,那麼應該可以減輕損壞,但我不知道如何做到這一點。
有誰知道可以在 Linux SAMBA 伺服器上採取的技術步驟來緩解 Cryptolocker,並且不依賴於限制使用者訪問或依賴於 AV。(我們的 AV 軟體沒有發現它,因為威脅在使用者被擊中前幾個小時才出現)
我已經想到將數據放在邏輯卷上並定期拍攝快照,但是我知道快照對性能有很大的影響,我希望避免這種情況。
我從來沒有被這些討厭的密碼鎖變種之一擊中,但是沒有備份文件,讓它通過快照或其他方法,是你唯一可以擁有的保護。
此外,無論誰告訴您快照會降低性能,都不是完全正確的。是的,拍攝快照會佔用一些資源,但根據快照卷的大小,它可能小到可以忽略不計。如果不知道數據的大小和性質,就很難判斷。但是你必須有辦法備份這些文件,以防密碼鎖被擊中或再次擊中。
如果 LVM 快照不適合您,那麼您需要查看定期(並且可能是頻繁備份),將其寫入惡意軟體沒有寫入權限的位置。然後,您只會讓 LVM 快照活動足夠長的時間來進行備份。
這是否意味著使用 Duplicity 或 borg-backup 或 rsync 或 rdiff-backup 或 rsnapshot,寫入外部 USB 驅動器或 SSH 連接另一端的伺服器,取決於您。
就個人而言,我更喜歡 borg-backup,因為它確實:
- 可變大小塊的重複數據刪除
- 壓縮
- 在 SSH 上執行良好
- 在備份伺服器上創建最少數量的文件
- 初始備份後速度非常快
Borg 在創建增量方面足夠快,我會考慮創建源文件系統的 LVM 快照,用 Borg 備份它,然後刪除 LVM 快照。根據要備份的數據量和文件量,快照處於活動狀態的時間可能少於每小時一到兩分鐘。
軼事:曾經用 rdiff-backup 備份一個基於 MailDir 的 100GB 郵件伺服器,每天花費 4-6 小時,並在目標文件系統上創建了很多很多小文件。使用 Attic(Borg 的前身)將其變成了 15-20 分鐘的操作,並且只在目標文件系統上創建了幾百個文件。因此,由於在目標目錄中創建的文件數量龐大,我不再喜歡基於 rsync 的備份。
連結:
- 雙重性 - http://duplicity.nongnu.org/
- 博格 - https://github.com/borgbackup
- rsnapshot - http://rsnapshot.org/
- rdiff-backup - http://www.nongnu.org/rdiff-backup/
- rsync - https://rsync.samba.org/