Witam
Testuje dopiero migawki ale mogę się już podzielić następującą wiedzą.
Dyski w RAID5 7,26 TB, na dane zarezerwowane 5,58 TB (reszta zarezerwowana na system i migawki - QNAPy tak mają i nie wiedzieć dlaczego właśnie tyle i tyle
), na migawki w tym zarezerwowane 1,45 TB (20%), a przy 8 migawkach zajmują już 850 GB (ok 11,45%). Zaznaczam, że obecnie dysk zapełniony jest danymi 2,75 TB, a 8 migawek to 850 GB.
Ustawiłem migawki na 30 dni co 6h i zobaczymy jak z pojemnością, czy przekroczy i czy zacznie kasować stare itd. Podzielę się jak już do tego dojdzie.
Brakuje mi w schedulerze dodawania więcej zadań niż jedno per Volumen, np.
1. wykonuj migawki co 6h od poniedziałku do piątku trwałość 7 dni
2. wykonuj migawki w sobotę o 22:00, trwałość 14 dni
3. wykonuj migawki raz w miesiącu, trwałość 3 miesiące.
Teraz zostaje nam/adminom QNAPa tylko jeden harmonogram choć widzę, że w pliku snpshotSchedule.conf można dokonfigurować parę wpisów, pytanie czy będą działały (zobaczyć ich na WebGui się nie da), dopisałem i zobaczę. Myślę po wpisach w tym pliku, że QNAP będzie rozszerzał tą funkcjonalność.
Trywialne rozwiązanie, którego nie uświadczmy w QNAPie, a podobne ma konkurencja, to blokowanie przed kasowaniem wybranej migawki na stałe. Tutaj jeśli sami ją nie zrobimy z palca i nie zaznaczymy tej opcji, w menu już tego nie zrobimy. Na szczęście w plikach konfiguracyjnych możemy to zrobić ustawiając jeden parametr (dla zainteresowanych mogę podać). Przyda się to jak już zarazimy nasze dane ransomware i będziemy chcieli zablokować przed skasowaniem migawkę z nie zarażonymi plikami.
Z kosza rzadko korzystam i mam ustawiony na krótki okres. Dodatkowo co jakiś czas opróżniam wszystkie kosze. Poważnie się zastanawiam nad wyłączeniem dla większości udziałów. W firmie osoby korzystają z Samby, tak więc korzystać z niego mogą głównie admini - raczej nie korzystają
.
Zabezpieczanie przed ransomware:
- stworzyć katalog KOPIA (nikt nie ma prawa do niego oprócz Admina, a pozostali admini co najwyżej tylko do odczytu, wyłączona SMABA do tego folderu) - takie zabezpieczenie przed ransomware.
WAŻNE: nie używać konta admina gdyż jeśli sami zarazimy własny komputer możemy być przyczyną zarażenia udziałów (Admin ma dostęp do wszytskiego
)
- stworzyć udział dla kopii (można ukryć w sieci) z poszczególnych hostów np. Host1, Serwer1 (komputerów, serwerów) i kopiować z automatu do niego dane, a następnie z automatu (harmonogram Hybrid Backup lub coś podobnego) do folderu KOPIA
- automatycznie kopiować wspólne udziały na których są ważne dane do katalogu KOPIA (także przez narzędzie Hybrid Backup itp).
- robić migawki
Tak zabezpieczony katalog KOPIA co jakiś czas kopiować na zewnętrzny dysk celem archiwizacji.
Sądzę, że dane będą bezpieczne.
Jest później zabawy z przywracaniem plików po zaszyfrowaniu ich przez ransomware. Czasem jest tego trochę (ostatnio pracownik zaraził komputer w piątek ok 14:00, zamknął klapę laptopa i zaczął weekend - w poniedziałek 4600 plików zaszyfrowanych
) .
PS. jeśli osoba w firmie/domu nie potrzebuje mieć dostępu do jakiegoś udziału, odbieramy. Uświadamiać użytkowników o ransomware, informujemy ich aby nie zapisywali haseł (uwierzytelnianie do udziałów na komputerze), nie podmontowywujemy udziałów, lepiej tworzyć skrót gdyż niektóre ransoware mają już z tym problem.
Pozdrawiam
