PTT推薦

Re: [請益] 買硬碟還是買NAS好?

看板PC_Shopping標題Re: [請益] 買硬碟還是買NAS好?作者
rotalume
(rotalume)
時間推噓13 推:13 噓:0 →:20

不是高手,不過分享一下我自己15年開始用到現在還沒有被打過

我的NAS基本上
1. 不放在DMZ,不直接連PPPoE,對外也不公開任何可以直連NAS的服務(如NAS的web)
2. 所有對外服務都經過docker當sandbox,也就是port forwarding直接到特定的docker3. 所有well-known port都關閉或挪作它用
4. 所有內網的電腦對NAS皆唯讀,只有NAS可以主動備份各電腦
5. 新版韌體有重要CVE會在release兩週左右更新,沒有的話就等一個月沒災情再說
6. 所有內網實體電腦都開啟防火牆允許實際會使用的服務跟掃毒軟體
7. 異地備份以reverse ssh proxy + rsync執行,ssh的交握不允許password
大多數的ssh key也都專用不互相信任

目前看下來是基地台常常被掃port,但因為我不用固定ip只用ddns,所以掃了也沒啥用
NAS上的內建防火牆則完全沒看過被亂測的log。docker上是有看到一些異常連線紀錄
但大概也就試一試進不來就沒再看過了

這樣在某些人眼中還不算嚴謹,但人總是有惰性所以這樣對我來說還算可以


然後最近有感受到RAID1也不完全算是備份,因為我在RAID1上也是跑了簡單的小服務
剛好有天斷電,就發現那段資料在RAID的scrubbing也救不回來,還好不是什麼重要
的,直接砍掉重練

只是比起常常會連到外網的電腦我還是比較相信外網不能直連的NAS

還有比起會刪My Documents的Windows.....XD

※ 引述《hans7192 (Hans)》之銘言:
: 原文全刪 推文中有人提到勒索病毒
: 不久前我就中了 剛好可以分享一下 先上圖
: https://imgur.com/ZdvWsFM
: 當初買NAS的用意是希望用最簡單的方式能達到最基本的備份保護
: 就像把照片從D槽COPY到E槽這樣而已
: 以及放藍光電影可以讓房間mac mini當隨選電影就像MOTEL的VOD
: 現在被駭客利用漏洞大規模攻擊下
: jpg檔全死 fuji的raw檔也死 nikon的raw檔跟藍光mkv檔沒事
: fuji是後期的相機 這2年的照片在桌機還有 損失的就17-18年照片
: 目前做法打算用單顆硬碟開機 將另一顆接桌機format成ntfs
: 再搬移資料 搬完後再format另一顆 用windows 做raid 1就好
: 不再用nas
: 如果你沒有想要做異地存取資料可以不用買nas
: 只是想要做"最簡單的方式達到最基本的備份保護"
: windows raid 1就好
: 備份保護越高級 錢跟手法是天秤 自己衡量

--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.169.32.112 (臺灣)
PTT 網址

yoyo178134 01/06 03:51遠端存取用ddns+vpn嗎

我用ssh reverse proxy, vpn懶得搞

RaiGend0519 01/06 04:36看下來覺得還是外接手動Raid1+雲端

RaiGend0519 01/06 04:37比較適合一般人

RaiGend0519 01/06 04:38USB物理牆當防火牆,雲端做關鍵資料

看你要拿NAS幹啥,如果只是要備份就不會這麼麻煩 但如果你會想拿NAS當對外的服務就開始要考慮一堆事

RaiGend0519 01/06 04:39備份,有錢再搞個異地放老家

ultimatevic 01/06 08:43來學一下docker怎用好了…

crono0 01/06 09:29會斷電應該是要考慮UPS...

是沒錯,但我的重點是放在資料不一定永遠都沒事,尤其是只有一份的時候

B0988698088 01/06 10:04光第3點板上一堆屁孩就不會了 乖乖

B0988698088 01/06 10:04用das吧

每個人的資訊程度本來就不一樣,所以我也只是提供一些關鍵字跟想法參考 應該沒有必要貶低別人吧

nasa01 01/06 10:17我不懂沒事別人入侵你nas要幹嘛

nasa01 01/06 10:17你家又不是姓顏 或是啥高官

小心政治文,你也可以看一下我引的文,樓主就是被勒索

dsin 01/06 10:18這用法非資訊出身的人怎麼辦?

當參考囉,我也不是一開始就這樣作

kashima228 01/06 10:32我超懶惰 設定打錯兩次鎖ip 一天

kashima228 01/06 10:33所以我只做兩份異地備援而已

這我比較怕搞到我自己,偶爾還是會手殘打錯XDDDDDD

※ 編輯: rotalume (36.226.162.89 臺灣), 01/06/2022 11:08:16

seoiotoshi 01/06 11:42入侵之後加密勒索阿 哪裡沒事XD

Litfal 01/06 11:42斷電請用電源備援

seoiotoshi 01/06 11:42還在那邊我無名小卒 就是因為無名小

seoiotoshi 01/06 11:43卒 駭客才沒有負擔 加密完後就你的

seoiotoshi 01/06 11:43問題了

tlight 01/06 12:23對付駭客就是要有魄力,把格式化的

tlight 01/06 12:23影片寄給他看,再罵他一句髒話叫他

tlight 01/06 12:23很厲害就請再來

我沒有這個魄力我是俗仔..Orz

Esvent 01/06 13:22我自己是port全關,Port Knocking

Esvent 01/06 13:22成功才允許連到VPN的Port

Esvent 01/06 13:24未來打算再加上動態Port Knocking

Esvent 01/06 13:24,每天更新+TG通知這樣

動態port knocking會對某些連入或需要reverse proxy的不友善...Orz

Litfal 01/06 13:56無名小卒優勢在於你port或服務該關

Litfal 01/06 13:56的關一關,不要裸奔,那些殭屍沒那

Litfal 01/06 13:56麼閒戳你一人

dustlike 01/06 14:01專業推

我是希望有人可以教一下看有沒有更懶但更有效的方法啦XD

shinkiro 01/06 16:05各種電腦只讀不能覆寫蠻重要的,意

shinkiro 01/06 16:05想不到的電腦中毒→通通加密太爽了8

shinkiro 01/06 16:0588

這還得要搭配NAS本身不對外公開,不然像我引的這篇就是NAS直接被打掉了 用NAS這種封閉的系統就是希望他能夠把該作的事作好,服務由其它電腦開 這樣壞就只壞電腦,資料還會有一份備份在NAS上 我最近重灌就覺得蠻爽的,資料不太需要備,因為平常都有每天跑,重灌完倒回來就好 只有那些限裝置的程式比較討厭一點

※ 編輯: rotalume (36.226.162.89 臺灣), 01/07/2022 00:36:07