Hi!
Lészen egy samba, több 100GB adattal, sok felhasználó, többen laptoppal, akár távolról is hozzáférnek a jogosultságuknak megfelelő megosztásokhoz. Egyre inkább aggaszt az újabban terjedő vírus, ami átkódolja a filekat, majd pénzt kér érte.
Ugyan mindenkinek rendes víruskeresője van napi frissítéssel, de ugye az sem 100% garancia.
Backup természetesen megy, de jobb a bajt minimalizálni (több 100GB visszaállítása azért nem 2 perc). Arra gondoltam, hogy samba esetén megoldható -e valami olyasmi, mint iptables-nél, hogy egységnyi idő alatt beérkezett kérés után az adott IP-t bannolom. Samba esetén mondjuk ha 1 perc alatt 100 dokumentumot módosított, akkor kitiltanám. Még file másolás esetén is ritka, hogy egyszerre 100 dokumentumot mozgasson (na jó, "rendrakás" esetén, de ez ritkaság).
Vagy ez már nagyon paranoid? ;-)
Egyéb ötleteket is szívesen fogadok.
Előre is köszönöm!
- 5236 megtekintés
Hozzászólások
Úgy látom sikerült az éjjel nagyon "eleresztenem" a képzeletemet... ;-)
- A hozzászóláshoz be kell jelentkezni
Szerintem ezt csak magad tudod megpatkolni, ugy, hogy figyeled a loggot es ha adot ido alatt megadott query erkezik, akkor siman kibannolod read-only-ra a hozzafereset. Bar ebben az esetben egy collectd-vel szedest a loggot ossze es masik gepen ertekeld ki.
- A hozzászóláshoz be kell jelentkezni
Egy ötlet: vfs_recycle
Ezzel a törléseket megfogod, szóval ha a crypt vírus kultúráltan működik (temp file-ba ír, ment, régit törli, temp file-t átnevez) akkor van egy utolsó jó állapotod a file-ról.
- A hozzászóláshoz be kell jelentkezni
fail2ban figyeli az audit log-ot es kesziti iptables szabaly.
- A hozzászóláshoz be kell jelentkezni