Dotaz: Zálohy na NAS odolné proti ransomware?

Chtěl bych se zeptat, jaké řešení máte na domácí zálohování. Hledám nějaký NAS na sdílení souborů A na zálohy. Možná úplně nerozumím tomu, co to NAS vlastně je, ale mám zato, že je to prostě malý (linuxový?) počítač s nějakým předinstalovaným softwarem pro sdílení, DLNA apod. Jednotlivé NASy se pak liší počtem disků, rozhraními a tím předinstalovaným softwarem. Nikde ale neumím najít, co ten software přesně umí.

Chtěl bych NAS použít primárně jako zálohovací zařízení. Celý ten koncept by měl být odolný proti ransomware (žádné zařízení nesmí mít právo zápisu do jiného zařízení). Tedy:

1. nebudu zálohovat z (potenciálně zavirovaného) počítače na NAS, ale z NASu budu zálohovat centrálně počítače
2. počítače bude k zálohám na NAS pouze read-only přístup, aby virus neměl možnost stávající zálohy zničit. Bude tam jen možnost udělat inkrementální zálohu
3. ekvivalentně z toho NASu bude do počítačů také jen read-only přístup (kdyby byl naopak zavirovanej NAS) (tohle umím)
4. ideálně inkrementy dělat jako BTRFS snapshoty
5. mít na NASu i jinou část disku, která je na veškeré ostatní sdílení jako běžný NAS

Je toto možné? Jsou ty NASy prostě jen linuxové distribuce, na kterých bych pravidelně spouštěl rsync? A lze tam mít BTRFS? A kdybych přeplácl ten originální software, tak zálohování rozchodím, ale jak moc je těžký rozchodit i ty NAS funkce / jak moc je škoda je zahodit?

Díky moc

NAS je krabička, kde běží osekaný Linux a poskytuje pár služeb. Situace je dost podobná routerům a podobným jedno účelovým zařízením.

Já bych se na NAS krabičku vykašlal a postavil si to z běžných komponent. Pak budeš mít jistotu, že nejsi svázaný nevhodným firmwarem.

Zálohoání iniciované ze serveru používám, funguje to hezky, navíc se server nezblázní z více souběžně běžících zálohovacích procesů. Doporučuju rsync přes SSH a inkrementy dělat jako hardlinky (rsync --link-dest). Rsnapshot je celkem fajn, vlastně jen volá rsync, ale nelíbí se mi jak pár věcí dělá.

BTRFS snapshoty by byly i celkem fajn, ale reálně potřebuješ každý zálohovaný stroj rotovat jinak. Pokud je jeden stroj nezálohovaný (notebook je pár týdnů pryč na cestách), tak nemůžeš jeho zálohy jen tak odrotovat a zahodit.

Alternativně můžeš dělat zálohy neinkrementálně z jednotlivých strojů (prostý rsync, zálohovaný stroj se připojí k serveru) a pak v druhém kroku inkrementálně ze zapisovatelného úložiště na nezapisovatelné úložiště (pro zálohované stroje). Případný útočník by mohl zničit jen včerejší zálohu, ale nemohl by zničit její kopii, ani nic staršího. Nevýhodou je větší spotřeba místa na discích (jedna plná kopie navíc). Výhodou je snadné zálohování cestujících strojů, na které je obtížné se připojit, ale které se mohou snadno připojit samy. Tento způsob používám na zálohování telefonu, který se čas od času rsyncne na server a ten server se pak zálohuje inkrementálně.

1) důležitá data mají být někde na serveru (a tam můžeš dělat snapshoty, nebo VSS třeba každou hodinu a držet historii třeba měsíc)
2) pokud má u nás uživatel notebook, tak buď si sám dělá zálohu na externí disk (je to jeho boj), nebo si může odlévat data k nám na storage (nějakým sw, co to dělá inkrementáln ě každý den), kde se opět dělají snapshoty
3) ransomware přijde v 99% buď mailem, nebo přes net, obojí řeší proxy server a vhodné filtry na mail gw (u nás zákaz spustitelných souborů + zákaz vnořených archivů - zip v zipu apod.)
Pokud jde o NASka, tak já používám jeden vlastní storage (FreeNAS s 1x 30TiB polem RAID-Z3, 1x 24TiB polem RAID-10 a 1x 20TiB polem RAID60) + používáme Synology NASka. Některé silnější verze mají btrfs, jiné to řeší jinak a mají to docela inteligentně klikací + synology zpřístupňuje ssh, takže můžeš psát vlastní skripty apod.
S jinými NAS systémy zkušenosti nemám.
Zdar Max

NAS mají obvykle software založený na Linuxu – jak moc můžete dovnitř záleží na výrobci. Podpora btrfs opět závisí na výrobci i modelu. Třeba dražší a novější NASy od Synology podporují btrfs, do linuxu se tam také dostanete a dokonce je možné (s trochou nepohodlí) tam doinstalovat další balíčky. Třeba u těch Synology NASů je dost škoda jejich software zahodit, protože tvoří velkou část hodnoty toho NASu.

Btrfs snapshoty spolu se sledováním ubývajícího místa je podle mne nejjednodušší domácí ochrana proti ransomware.