WebDAV VS SMB , AFP

[Toby-ch]

Hallo zusammen

Ich richte gerade meine DS 1815+ neu ein nun möchte ich ein wenig mehr Sicherheit:
Stand bis heute:

Ein Mac mini ist im 24/7 Betrieb und zieht sich backups vom Hupt server der DS und macht ein SYNC Tool GoodSync der Ordner auf eine interne HDD oder auf einen anderen Server.
Dazu nutzte ich SMB bzw. AFP shar das heist jeder ordner ergab ein Netztlaufwerk auf dem mac mini auf dem vom OS ein stehender zugrif war sprich hätte ein Lokie virus gewütet wäre die ganze DS Plat gewesen.
Nutze ich jedoch in Goodsync webDav muss kein Netzlaufwerk verbunden werden. somit ist keine verbindung durch das os offen nur durch das Programm GoodSync. somit würde ein Verschlüsslung Trojaner die Netzlaufwerke in ruhe lassen.
Bis der Sync Startet ( Jedoch würde da der Schutz greifen kein sync bei mehr als 10% der Änderung)

Was haltet ihr davon? Die Diskstation ist von Aussen nicht zu erreichen, nur via VPN!
Ich denke an eine Nutzung ohne https oder wäre https viel besser?

Besten dank für eure inputs.

 

[snaxilian]

Das hilft genau so lange bis ein cryptolocker nicht nur nach smb Freigaben sucht sondern auch per webdav. Natürlich kann man dann auf AFP wechseln usw aber das bekämpft das Symptom, nicht die Ursache: mieses/kein Rechte-Management.

Daten, die nicht (mehr) verändert werden müssen -> read only
Daten, die verändert werden -> Dann arbeitet man im besten Fall immer nur mit einer Kopie des Original und/oder nutzt eine Sync-Möglichkeit die mehrere Versionsstände zurück kann

Zusätzlich sollte man Daten immer "offline" sichern, also nicht dauerhaft verbunden/erreichbar.


Zusätzlich: Lies bitte nochmal deinen Text, da muss man mehr raten was du gemeint haben könntest anstatt zu verstehen was du uns erklären möchtest.

 

[Bogeyman]

Ich verwende ZFS, dort gibt es Snapshots. Diese sind ganz praktisch weil sie eben Readonly sind.


Ansonsten erstmal nen gescheites Rechte Management anlegen.

 

[Toby-ch]

Ansonsten erstmal nen gescheites Rechte Management anlegen.

Hast du da einen Ansatz wo ich anknüpfen könnte?

Das hilft genau so lange bis ein cryptolocker nicht nur nach smb Freigaben sucht sondern auch per webdav

Ich möchte jetzt apple nicht in den Himmel loben, aber ich denke die Wahrscheinlichkeit, das es einen Solchen virus gibt für OSX ist denkbar geringer als für Windows. Zumal haben genau zwei Benutzter WEBDAV rechte und dies nur von 3 IP's

Ich verwende ZFS, dort gibt es Snapshots.

Macht die BTFS nicht auch so ?

Daten, die verändert werden -> Dann arbeitet man im besten Fall immer nur mit einer Kopie des Original und/oder nutzt eine Sync-Möglichkeit die mehrere Versionsstände zurück kann

Ist extrem schwierig bzw. garnicht umsetzbar, was Goodsync kann ist das anlegen eines history Ordners... für XY Tage.

 

[snaxilian]

- Stichwort minimal rights principle: Jeder User bekommt nur die minimalst benötigten Rechte.

- OS X und iOS bekommen auch mehr als regelmäßig neue CVEs, aufgrund der geringeren Verbreitung wird dies nur nicht so bekannt wie bei Windows. Kleinere Zielgruppe bedeutet nicht automatisch sicherer. Die letzte große Cryptolocker-Welle war auch nur machbar weil man, teils aus Kompatibilitätsgründen, uralte Schnittstellen wie eben SMB v1 nicht deaktiviert hatte. Oft sind solche Probleme nicht zwingend technische Probleme sondern vielmehr organisatorische aus deren Folge manch technisch mögliches nicht umgesetzt wird.

- Ja, BTRFS hat gewisse Ähnlichkeiten zu ZFS, u.a. unterstützt es Snapshots

- Dann nutze halt ein anderes Sync-Tool oder nutze eine Versionierungsfunktion des NAS sofern dies so etwas unterstützt.

Zusätzlich solltest du auch das Thema Backup bedenken sofern nicht vorhanden.

 

[Toby-ch]

- Dann nutze halt ein anderes Sync-Tool oder nutze eine Versionierungsfunktion des NAS sofern dies so etwas unterstützt.

Habe ich Hyperbackup 1x auf ein anderes NAS 1x auf eine DX513

Zusätzlich solltest du auch das Thema Backup bedenken sofern nicht vorhanden.

DS1815Hauptserver ----SYNC und Backup -------> Mac Server mac mini mit 2x 4 Thunderbolt 2 storage
DS1815Hauptserver ----SYNC und Backup ------> Home server Hackingtosh
DS1815Hauptserver----Hyperbackup--------> DS1515 die komplette DS
DS1815Hauptserver----Hyperbackup------->DX513 die Komplette DS
Weiter habe ich noch vom iMac keine komplettes backup auf einer externen Diskstation in einem Data center mit CCC.



Das einzige was ich machen könnte ist:

DS1815Hauptserver ----NUR BACKUP kein SYNC -------> Mac Server mac mini mit 2x 4 Thunderbolt 2 storage der user bekommt so auf der DS nur Lese Rechte

DS1815Hauptserver ----Wie auch bein macServer kein SYNC nur 1 weg Backups------> Home server Hackingtosh


Weiter habe ich ein Zeichen Problem ich bekomme plötzlich solche Zeichen im Datei oder Ordnernamen: ? ( Quadrat mit einem Fragezeichen drin) ich habe noch nicht rausbekommen welches System dies verursacht?!?