跳转至

勒索病毒防护与快照锁定

勒索病毒是 NAS 最大的敌人。一旦中招,所有文件被加密,黑客索要比特币。快照 (Snapshot) 是你对抗勒索病毒的最后一道防线,也是最有效的防线。

1. 为什么 RAID 和 备份 不够?

  • RAID:防硬盘物理损坏。勒索病毒会加密 RAID 上的所有文件,RAID 会忠实地同步这些加密操作。RAID 防不了病毒。
  • 同步备份 (Cloud Sync/Drive):病毒加密了本地文件,同步工具会立马把加密后的坏文件同步到云端,覆盖掉好文件。实时同步防不了病毒。

2. 快照 (Snapshot) 的原理

快照是 Btrfs 文件系统的一张“照片”。它记录了某一时刻文件系统的状态。 * 秒级生成:无论多少 TB 数据,打快照只需不到 1 秒。 * 占用空间极小:快照只记录“变化的数据”。如果你不修改文件,快照几乎不占空间。 * 只读特性:快照是只读的。即使病毒加密了当前文件,它也无法修改历史快照中的数据。

3. 配置 Snapshot Replication

套件:Snapshot Replication。

步骤

  1. 快照 > 选择共享文件夹 > 设置
  2. 计划
    • 频率:建议 每 4 小时 一次,或者 每天 一次。
    • 注意:频率越高,丢失数据的风险越小,但对性能有轻微影响。
  3. 保留
    • 保留最新的 1024 个快照?不,建议使用 GFS 策略 (Grandfather-Father-Son)。
    • 例如:保留 24 个每小时快照、7 个每日快照、4 个每周快照。
    • 这样你既可以回滚到今天上午 10 点,也可以回滚到上个月。

4. 终极防御:不可变快照 (Immutable Snapshots)

DSM 7.2 新增的核武器。

什么是不可变快照?

传统的快照,如果管理员账号被黑客攻破,黑客可以手动删除所有快照。 不可变快照利用了 WORM (Write Once, Read Many) 技术。一旦设定(例如锁定 7 天),任何人(包括 root、admin)都无法删除它。哪怕你把 NAS 砸了,只要硬盘还在,快照就在。

配置

  1. 在快照设置中,勾选 启用不可变快照
  2. 保护期:建议设置为 7 天或 14 天。
  3. 警告:启用后,在保护期内你真的无法删除这些快照来释放空间。请确保你的硬盘空间充裕。

5. 灾难恢复演练

中了勒索病毒怎么办?

  1. 断网:拔掉网线,防止病毒蔓延。
  2. 清理:格式化系统分区,或者删除所有受感染的 Docker 容器/电脑,确保病毒源被清除。
  3. 恢复
    • 打开 Snapshot Replication > 还原
    • 选择中招前最近的一个快照。
    • 点击 还原到此快照
    • 奇迹发生:几秒钟内,所有被加密的文件全部变回了原样。

6. 3-2-1 备份策略的完善

快照是本地防护。为了极致安全,你还需要异地备份。 * Hyper Backup + 不可变存储:Hyper Backup 现已支持将数据备份到支持 Object Lock 的 S3 存储桶(如 Synology C2, AWS S3)。这意味着云端的备份在锁定期内也是无法被删除的。

总结: * Btrfs 是基础。 * 快照 是日常回滚。 * 不可变快照 是防黑客删库。 * 异地备份 是防地震火灾。