共有SAMBAサーバーに対するCryptolockerの制御を容易にする

共有SAMBAサーバーに対するCryptolockerの制御を容易にする

私の顧客の1人は最近、Cryptolockerの非常に新しい亜種を発見しました。残念ながら、破損したユーザーはシステムへの高レベルのアクセス権を持っていました。明らかに一部の人々を教育しません。

各ファイルの作成中(ただし以前)、各ファイルのコピーを作成(SSDなど)して、一晩中そのファイルを削除できると、ダメージが軽減されると思いました。しかし、よくわかりません。これを行う方法。

ユーザーアクセスの制限やAVに依存せずにCryptolockerを軽減するためにLinux SAMBAサーバーで実行できる技術的なステップを知っている人はいますか? (私たちのアンチウイルスソフトウェアは、ユーザーが攻撃を受けてから数時間前に脅威が現れたため、それを検出できませんでした。)

データを論理ボリュームに保存し、定期的にスナップショットを撮ることについて考えましたが、スナップショットがパフォーマンスに大きな影響を与える可能性があることを知っているので、これを避けたいと思います。

答え1

私はこれらの不快なドングルの亜種の1つにかかったことはありませんが、ファイルのバックアップがない場合は、スナップショットや他の方法でバックアップすることが唯一の保護方法です。

また、スナップショットがパフォーマンスを低下させると言った人はまったく真実ではありません。はい、スナップショットを作成するにはいくつかのリソースが必要ですが、スナップショットボリュームのサイズによってはサイズが小さすぎて無視できる可能性があります。データの大きさや性格がわからないと判断するのは難しいです。ただし、Cryptolockerがヒットまたは再ヒットする場合に備えて、これらのファイルをバックアップする方法が必要です。

答え2

LVMスナップショットが機能しない場合は、マルウェアが書き込めない場所に記録された定期的な(おそらく頻繁な)バックアップを確認することをお勧めします。その後、バックアップを実行するのに十分な長さのLVMスナップショットをアクティブに保ちます。

これが、Duplicity、borg-backup、rsync、rdiff-backup、またはrsnapshotを使用するのか、外部USBドライブに書き込むのか、または反対側のサーバーにSSHingを使用することを意味するのかはあなた次第です。

個人的には、私は次の理由でborg-backupを好みます。

  • 可変サイズブロ​​ックの重複排除
  • 圧縮
  • SSHを介してうまく動作します。
  • バックアップサーバーに最小数のファイルを作成する
  • 初期バックアップ後は非常に高速

Borgはデルタの作成が十分に速いので、ソースファイルシステムのLVMスナップショットを作成し、Borgを使用してバックアップしてからLVMスナップショットを削除することを検討します。バックアップされるデータとファイルの量に応じて、スナップショットは毎時間1〜2分以内にアクティブになることがあります。

エピソード:rdiff-backupを使用して100 GBのMailDirベースのメールサーバーをバックアップするのに1日4〜6時間かかり、ターゲットファイルシステムに多数の小さなファイルが作成されました。 Attic(Borgの全身)を使用すると、この操作には15〜20分かかり、ターゲットファイルシステムには数百のファイルしか生成されません。したがって、ターゲットディレクトリに作成された膨大な数のファイルのため、rsyncベースのバックアップは推奨されなくなりました。

リンク:

答え3

スナップショットに関する限り、私たちはおそらくはるかに安いスナップショットを可能にするZFSに行きます。

また、各共有に次の行を追加しました。 samba-vfsをインストールして削除されたファイルをバックアップすると、一部のCryptolocker亜種に対してある程度の保護を提供できると思います。

    vfs objects = recycle
    recycle:repository = .recycle
    recycle:keeptree = yes
    recycle:versions = yes

私も一つ見つけた郵便はがき脅威を軽減するために監査全体を有効にし、暗号化の名前の変更に使用される共通の拡張子を見つけるためにfall2banを使用することを含む追加の緩和が必要です。

関連情報