[12:31] <marcv> Hi all
[12:31] <marcv> Vraagje...
[12:32] <marcv> Ik heb een ubuntu server met een samba share die gekoppeld als netwerkschijf in windowscomputers thuis.
[12:32] <marcv> Nu ben ik al een tijdje huiverig voor ransomware op windowscomputers die, bij besmetting, ook de sambashare zouden kunnen versleutelen.
[12:33] <lordievader> Heb je een backup van je belangrijke data?
[12:33] <marcv> Ik maak met een cronjob en rsync wekelijks een back-up maar dat is niet waterdicht; bij een versleuteling vlak voor de cronjob draait zou de back-up ook waardeloos zijn.
[12:34] <lordievader> Klopt, heeft jouw windows pc schrijf toegang nodig?
[12:34] <marcv> Ik wil vooral foto's veilig hebben. Omdat deze niet overschreven hoeven (mogen) te worden zit ik er aan te denken om de hele directory met foto's te beveiligen met een chattr -i
[12:34] <marcv> De windows computers (van de kinderen) gebruiken de sambashare als NAS dus volledige toegang nodig.
[12:35] <marcv> Zijn er redenen om geen chattr -i te gebruiken of zijn er betere manieren om te beveiligen tegen ransomware?
[12:37] <lordievader> Ik zou het iets genuanceerder doen. Een speciaal user account voor die folder gebruiken ofzo.
[12:37] <lordievader> Of het een ro share maken.
[12:38] <marcv> Dat doe je toch effectief met chattr -i ;-)
[12:39] <lordievader> Nee, dan is ie ook niet meer vanaf Linux mutable.
[12:39] <marcv> Dat is op zich prima. De rsync kan gewoon blijven draaien. Foto's kunnen bekeken en gekopieerd worden. Alleen niet verwijderd; precies wat ik wil.
[12:44] <marcv> Moet trouwens chattr +i zijn zie ik
[12:59] <Maikel> cross post!
[12:59] <Maikel> http://forum.nedlinux.nl/viewtopic.php?pid=386455#p386455
[13:06] <marcv> Klopt. Leg m'n oor graag te luisteren op verschillende plaatsen maar dacht dat geen probleem was omdat het toch wel een ander medium is..?
[13:08] <Maikel> je krijgt hetzelfde verhaal over en over te horen.
[13:08] <marcv> Ondertussen de belangrijkste directories beveiligd met chattr +i. Ga gewoon maar eens kijken of het bevalt. Volgens mij in ieder geval een effectieve beveiliging tegen windows ransomware. Nu alleen hopen dat ik er aan denk dat de bestanden met chattr beveiligd zijn als het mee eens niet lukt om bestanden te verwijdern :-)
[13:09] <marcv> Ik mis toch een onderbouwd verhaal om wel of geen chattr te gebruiken. Ook hoor ik geen alternatieven tegen dit soort aanvallen. Ik kan toch niet de enige zijn die me hier druk om maakt..
[13:09] <Maikel> jawel, die hoorde je wel
[13:10] <marcv> ro mounten is geen optie. Moet toch NAS functionaliteit hebben.
[13:10] <Maikel> "Als het waardevolle foto's zijn en/of andere data, dan is een backup een must. Een backup is pas een backup als er een keer een volle restore mogelijk is gemaakt. Je kan eventueel ook de bestanden op read only zetten, maar niet via extended attributes, zoals chattr +i. Je risico zal je voornamelijk op samba share niveau willen afregelen."
[13:10] <Maikel> Dan maak je verschillende shares aan
[13:10] <Maikel> Dat kan vrij makkelijk
[13:10] <Maikel> chattr +i kom ik nauwelijks tegen
[13:11] <marcv> Dat je het niet tegenkomt is geen reden om het niet te gebruiken (zou er zelfs voor kunnen pleiten)
[13:11] <Maikel> ^-- hierboven staat weer het antwoord.
[13:11]  * Maikel is er klaar mee
[13:11] <marcv> En met ro shares kun je er geen bestanden bijplaatsen wat met chattr wel kan
[13:13] <marcv> Oeps, my bad. Kan met chattr ook niet zie ik. Zal alleen de files moeten behandelen met chattr en niet de directories. Maar daar is eenvoudig omheen te werken.
[14:13] <Sling> 14:33:39 < marcv> Ik maak met een cronjob en rsync wekelijks een back-up maar dat is niet waterdicht; bij een versleuteling vlak voor de cronjob draait zou de back-up ook waardeloos zijn.
[14:13] <Sling> dan is je backupsysteem niet in orde
[14:13] <Sling> waarom bewaar je niet meer dan 1 week? waarom maak je geen incremental backups?
[14:15] <marcv> Te veel data om dat te doen.
[14:16] <Sling> als je maar 1 kopie opslaat zie ik dat niet echt als een backup eigenlijk
[14:16] <Sling> vooral als je niet de integriteit van de data checkt voordat je de backup overschrijft
[14:25] <marcv> Ik schrijf alleen de wijzigingen weg met rsync. Maar ga er toch ook maar eens offline back-up naast maken.
[14:28] <Sling> dus je wekelijkse backup is niet eens volledig? :)
[14:28] <Sling> ik schrijf zelf m'n backups naar mega.co
[14:29] <Sling> minimaal 2 weken aan data, elke week full en elke dag daar tussen incremental
[14:29] <Sling> maargoed ik heb niet enorm veel data dus dat past allemaal in de 50G die je gratis krijgt bij mega
[14:39] <marcv> Het gaat bij mij over Terrabytes helaas. Anyway, dank voor het meedenken. Ga er zelf ook nog maar eens over nadenken.
[15:24] <lordievader> Misschien moet je eens naar dirvish kijken.
[15:24] <lordievader> Iedere dag incremental backups zonder dat het veel ruimte kost dankzij hardlinks.
[15:37] <marcv> Tnx, ga ik naar kijken :-)
[15:46] <marcv> Zonder gekeken te hebben; ik hoop niet dat er back-ups met hardlinks gemaakt worden??? Dat is namelijk geen backup maar gewoon dezelfde data..
[16:02] <lordievader> De interne structuur van de backup zelf maakt gebruik van hardlinks waardoor iedere dag een "full" backup wordt gemaakt, van ongewijzigde bestanden wordt er een hardlink toegevoegd.