Windows и Linux против вируса-шифратора?

Question

[SpideR-KOSS]

На предприятии сервер работает на Windows Server.

Бэкапы сохраняются на FTP под управлением Линукса.

Сделано это для того что если шифратор пошифрует все данные в Windows Server, бэкапы на лине останутся не тронутыми.

Вопрос, так ли это? И пролезет ли шифратор по сети если к примеру вместо линя поставить Windows 7, и так же по FTP передавать туда бэкапы?

Comments

[Дмитрий Шицков]

Зависит ещё от того как вы потом поступаете с бекапами на Лине. А то успешно туда могут отбекапиться зашифрованные файлы и затереть хорошие бекапы :)
И серьёзно, FTP в 2019?

[SpideR-KOSS]

Дмитрий Шицков, не, там хранятся бэкапы за весь месяц. :-)

Ммм, как бы да, FTP в 2019.

Подскажите что новее и эффективнее. :-)

[Everything_is_not_so_bad]

SpideR-KOSS, SFTP?

[АртемЪ]

Дмитрий Шицков,

И серьёзно, FTP в 2019?

А чем плох FTP ?
Да серьезно - я много где его использую.
Старый добрый протокол - закрывает большинство задач.

[Дмитрий Шицков]

АртемЪ, ну больше всего расстраивает способ передачи пароля в открытую. В изолированной сети со всеми поедосторлжностями от спуффинга, жить, конечно, можно и с этим

Answer 1

[Дмитрий Шицков]

Зависит ещё от того как вы потом поступаете с бекапами на Лине. А то успешно туда могут отбекапиться зашифрованные файлы и затереть хорошие бекапы :)

Неплохо бы использовать, к примеру, rsync (и его Windows-разновидности).

Популярные шифраторы любят распространяться через SMB. Отключив полностью SMB (ну, на самом, достаточно отключить уязвимые версии протокола), мы сильно сокращаем его векторы атаки. Так же нужно исключить наличие каких-либо других методов расшаривания диска на защищаемой машине(SMB, FTP, NFS, WebDAV и проч. потенциально можно смонтировать, так что нужно исключить факт выполнения монтирования таких шар с бекап-сервера).

Так же, неплохим слоем защиты может служить регулярные снапшоты файловой системы (теневые копии винды и LVM/BTRFS/ZFS снапшоты линя).

Answer 2

[АртемЪ]

И пролезет ли шифратор по сети если к примеру вместо линя поставить Windows 7, и так же по FTP передавать туда бэкапы?

Не должен, обычно один зловред под одну платформу заточен, но не факт.

Разрешение на запись в папку с бэкапами должно быть только у одного пользователя - того под которым делаются бэкапы. Под этим пользователем ничего не делать кроме бэкапов. Все остальные пользователи, в том числе и администраторы не должны иметь прав на запись в папку с бэкапами.
На самом сервере где хранятся бэкапы желательно перемещать бэкапы из публичной папки, доступной по сети, в другую, на длительное хранение.

Answer 3

[pfg21]

если доступ к бекапам по самбе (расшаренные попки виндовс) сделать ридонли, то не залезет. ну исключая кучу дырья в самой самбе.
выковырять пароль к фтп из конфига вашего бекапера (кобиан предположу) надо еще уметь, поддержки такого в вирусах я не видел. так что влезть по фтп на сервер в режиме редактирования файлов тож наврдяли.
от системы оба протокола не зависят. можешь поменять линукс на винду, но зачем ?? линукс, не поймает вирусню с винды, не запустится оно, вирусов под линь неимоверно меньше.

на фтп бочку катить не надо - проверенный десятилетиями протокол. куча серъезных серверов до сих пор поддерживают раздачу файлов по фтп.
единственный минус - так шифрацию нормально и не прикрутили, ftp+ssl/tls сделали, но чегой-то не сильно он распространен.
для локальной сети, в которой наврядли кто будет покушаться на трафик, хватит за глаза.

Answer 4

[lolowin32]

Я использовал бесплатную утилиту WinSCP, которая организует сессию по scp протоколу с Windows на Linux, тем самым не используя самбу. Но как выше уже успели заметить, шифрование может произойти до того как файл бекапа отправится на бэкап сервер, по этому лучше держать пул бэкапов, чтобы не затирать предыдущие. К примеру для 1с баз он был в месяц, и с сортировкой по месяцам (чтобы не плодить много бэкапов), а для Windows серверов был пул в неделю, то есть любой бэкап за неделю можно было восстановить

Для линухов очень хорошо проявила себя утилита rsync, ну а для Windows либо стандартная виндовая архивация, коей я думаю мало кто пользуется, Acronis, ну и Veeam видел.