February 1, 20224 yr Community Expert Mgutt empfiehlt ja (und wohl nicht nur er), daß man Unraid am Besten nur mit Leserechten für die Client computer betreiben sollte. Also alle Shares für alles Users nur auf Lesen setzen.... Aber hilft das wirklich ? Denn es kommt ja wohl auf die Programmierung des Virus an - wenn sich das in den korrekten Daten inaktiv "versteckt", bis es "abgeholt" wird und dadurch auf neue Hardware übertragen wird und erst dann aktiv wird.... Dann würde auch durch einen Lesevorgang der Verschlüsselungsprozess eingeleitet... Das virus wäre dann kaum abzuwehren... Oder ist das Fiktion ?! Aber mir ist die Logik nur Leserechte zu vergeben schon einleuchtend - das ist etwas was einfach zu machen ist und hilft zumindest. Jetzt meine Frage: Man könnte die Leserechte doch immer bestehen lassen. Wenn man dann doch mal irgendetwas von einem Client übertragen will und auf den Server schreiben will, dann geht man über das WebGui von Unraid (starkes Password) in den Docker Krusader und veranlasst den Datenübertrag von Client auf Server mit dem Krusader-Docker. Unter welchem User arbeitet Krusader eigentlich ? Unter root ?! Und wäre das dann ein halbwegs sicherer Datenübertrag vor Ransomware... ?! Zumindest wenn die Datei selbst nicht das Virus enthält (Antivirusprogramme auf den Clients) Und: Wenn man mit einem Docker wie Paperless-ng arbeitet und von einem Share auf Unraid (die Daten befinden sich also schon auf dem Server) dann in die Doc-Datenbank von Paperless-ng importiert: Unter welchem User passiert das ? Auch hier sind doch für irgendwen Schreibrechte nötig ? Wenn man das unterbinden wollte funktioniert die ganze Dokumentenverwaltung nicht mehr ! Auch lucky-Backup als Docker auf dem Server: - lucky-Backup liest vom Client computer mit lese Rechten dort. - Lucky-Bachup schreibt aber auf dem Server - mit welchem User-account dann ?! Root ? Wieder einen Haufen Fragen... so geht das eben mit den Hobby-IT'ern... (anderes Wort für Anfänger) - sorry! Ich will eben keine törichten Fehler machen...
February 1, 20224 yr Community Expert Du hast den Client mit seinen Daten und den Server. Wird eines von beiden gehackt, sind die Daten noch auf dem jeweils anderen. Da der eine nicht auf den anderen schreiben kann, kann er auch nichts verschlüsseln. Wird also der Client gehackt, kann er nicht das Backup verschlüsseln. Wird der Server gehackt, kann er nicht den Client verschlüsseln. Ob nun ein Virus vom Client in einem Backup auf dem Server steckt ist völlig irrelevant, weil du Dateien aus dem Backup ja nicht auf dem Server ausführst (und nein, das kann nicht einfach so passieren, schon gar nicht unter Linux). Du darfst dich natürlich nicht mit dem Client auf dem Server zb per root anmelden. Den Login könnte bei einem gehackten Client mitgelesen werden. Außerdem besteht natürlich die geringe Wahrscheinlichkeit, dass der Client gehackt wird, während der Server auch eine Sicherheitslücke besitzt. Genau deswegen gilt in der Industrie die 3-2-1 Backupregel: 3 Kopien auf mindestens 2 verschiedenen Datenträgern und 1 Kopie an einem externen (Offline) Standort. Wie viel man davon nun privat umsetzt, muss natürlich jeder selbst entscheiden. 1 hour ago, ullibelgie said: Auch lucky-Backup als Docker auf dem Server: - lucky-Backup liest vom Client computer mit lese Rechten dort. - Lucky-Bachup schreibt aber auf dem Server - mit welchem User-account dann ?! Root ? Ob Lucky Backup root hat (hat es nicht, weil Container), spielt keine Rolle, weil das ja auf dem Server stattfindet, der dem Client nichts anhaben kann. Hat Lucky Backup eigentlich User Logins? Wenn nein, wäre Lucky Backup sinnlos, weil der Angreifer ja nur auf die GUI wechseln müsste um die Backups zu löschen.
February 1, 20224 yr Community Expert 1 hour ago, ullibelgie said: Wenn man mit einem Docker wie Paperless-ng arbeitet und von einem Share auf Unraid (die Daten befinden sich also schon auf dem Server) dann in die Doc-Datenbank von Paperless-ng importiert: Unter welchem User passiert das ? Auch hier sind doch für irgendwen Schreibrechte nötig ? Wenn man das unterbinden wollte funktioniert die ganze Dokumentenverwaltung nicht mehr ! Deswegen sichere ich alle Container inkrementell auf eine HDD im Array. Container können nur das verändern wo sie Rechte für besitzen. Also die Pfade, die in den Einstellungen hinterlegt sind. Deswegen ist bei mir Krusader auch dauerhaft aus. Ein Container mit Schreibrechten auf /mnt besitzt viel zu viel Macht. Plex hat bei mir zb ausschließlich lesende Rechte auf die Filme.
February 1, 20224 yr 1 hour ago, ullibelgie said: Also alle Shares für alles Users nur auf Lesen setzen. Wie soll das denn gehen? Sind Eure Daten fest und unveränderbar? Zum Schutz vor Viren hilft wie im wahren Leben <hust hust> vor allen Dingen "Hirn einschalten". Dazu auf Klienten wie Windows einen wirksamen Schutz auf diesen installieren. Regelmäßige Backups der unverzichtbaren Daten (inkl. Unraid Flash) gehören ebenso dazu. Und vor allen Dingen: Nicht jeden Sch***ß installieren sondern eher mäßigen und reduzieren. Hat man mal ein funktionierendes Umfeld geschaffen, dann kann man auch mal aufhören, alles und jedes aufzurufen und installieren. Ich kann mir noch nicht mal ansatzweise vorstellen, wie ich mit auf Lesen reduzierten Netzwerkverbindungen umgehen soll. So sieht es bei uns aus: - Alle Disk-Shares hidden - User-Shares abgeschaltet - Kein Cache - FTP abgeschaltet (nach jedem Reboot erneut) - Die Handvoll Docker Container (SWAG, Plex, Nextcloud, Code-Server, MakeMKV, NZBGet und MKVToolNix) haben natürlich mehr oder weniger Zugriff auf alles was für sie notwendig ist. Meist r/w außer bei Plex. - SSL Zugriff von außen nur für Plex und Nextcloud - Weitergehender Zugriff von außen nur über VPN (Fritz) Kommen wir zu den Klienten wie Windows. Hier ist es schwieriger. Da wir alle auf dem Server direkt arbeiten, muss für diese das r/w freigegeben sein. Hier nutzen wir WebDAV zu Nextcloud. Edited February 1, 20224 yr by hawihoney
February 1, 20224 yr 22 minutes ago, hawihoney said: Wie soll das denn gehen? Sind Eure Daten fest und unveränderbar? das frag ich mich auch als ... 22 minutes ago, hawihoney said: Zum Schutz vor Viren hilft wie im wahren Leben <hust hust> vor allen Dingen "Hirn einschalten". und so sehe ich das auch, was muss ich machen um mir alles zu verhauen ... irgendeinen Dreck ausführen von dem ich nicht weiß ... und dann haben wir hier den Luxus der VM's und bevor ich was installiere was kritisch werden könnte nutze ich halt eine "fire and forget" VM, wobei ich so etwas nicht nutze da ich keinerlei Bedarf für mich sehe ... oder auf welchen Seiten muss man sich tummeln und was auch immer ausführen das so etwas passiert ... 25 minutes ago, hawihoney said: Kommen wir zu den Klienten wie Windows. Hier ist es schwieriger. Da wir alle auf dem Server direkt arbeiten, muss für diese das r/w freigegeben sein. hier komplett SMB offen ... selbst NC Webdav wäre mir da zu träge für diese Zwecke. Extern, ja da kommt hier etwas zusammen, NC mit Onlyoffice, Filebrowser (da schneller), ... dann kommen Dienste wie paperless und co dazu, calibre web und die Multimedia Kiste mit Plex, TVHeadend, xteve Live HLS Server... bissel Grafana hier, bissel adguard da, dann gehöre ich noch zu der Fraktion die auch unraid selbst extern zugänglich hat, dann Router WebUI, dann Switch Webui, dann Mesh Endpunkte WebUI's, usw usw ... die ganzen VNC WebUI's wie Filebot, Luckybackup, Avidemux, ... dann noch bissel guacamole mit RDP's, SSH's, ... usw usw usw ... aber ja, was @mgutt da betreibt ist schon sicherer im Falle das ... nur den Fall kenne ich so nicht da ich nicht willenlos ...
February 1, 20224 yr 18 minutes ago, alturismo said: Extern, ja da kommt hier etwas zusammen [...] Filebrowser (da schneller) Auf unseren Android Mobilgeräten ist überall der Dateimanager+ installiert und dort Nextcloud als Cloud eingerichtet. Ich finde das von der Performance her ok. 18 minutes ago, alturismo said: calibre web Hmm, bei meinen letzten Versuchen war das grotten langsam und stürzte regelmäßig zum krönenden Abschluss ab. Von der GUI fange ich erst nicht an - fürchterlich. Auch E-Books liegen bei uns wunderbar organisiert in Nextcloud und können im MoonReader direkt geladen werden. Klappt astrein. 18 minutes ago, alturismo said: unraid selbst extern zugänglich hat, dann Router WebUI, dann Switch Webui Und genau die drei würde ich nie nach außen freigeben. Nur hinter VPN. Einige der von Dir freigegeben Dinge können mit Nextcloud abgebildet werden. Nicht falsch verstehen, ich finde den Server Nextcloud ok, aber die Tools drumherum sind m.M.n. eine Katastrophe. Deshalb nutze ich WebDAV und kann dann die Klienten/Tools meiner Wahl verwenden - selbst innerhalb Windows. Edited February 1, 20224 yr by hawihoney
February 1, 20224 yr 3 minutes ago, hawihoney said: Hmm, bei meinen letzten Versuchen war das grotten langsam und stürzte regelmäßig zum krönenden Abschluss ab. Von der GUI fange ich erst nicht an du verwechselst das jetzt aber nicht mit der calibre management rdp Kiste ... die war/ist wirklich grottig das läuft wunderbar und ist automatisiert (wie ziemlich alles hier), Buch in Ordner ablegen, ab da wird eingelesen, katalogisiert, automatisch an Kindle gesendet, fertig. und hier der Anfang meines scripts zum Einlesen, konvertieren, etc ... ... 7 minutes ago, hawihoney said: Und genau die drei würde ich nie nach außen freigeben. Nur hinter VPN. Klar und ja, das ist KEINE Empfehlung 7 minutes ago, hawihoney said: Einige der von Dir freigegeben Dinge können mit Nextcloud abgebildet werden Nextcloud ist für mich persönlich ein Krampf ... nur Mittel zum Zweck für Photos (upload, sortieren) und das mein Frauchen schnell und einfach mal ne Excel aufmachen kann unterwegs ... für alles andere (File Management) nutze ich den filebrowser ... eigentlich Käse da ich auch RDP Tools der VM nutzen kann hierfür ... Spieltrieb bei webdav hast du immer das 50mb Limit als default unter Windows (ohne regedit) ... reicht ja auch in der Regel ... aber ich "arbeite" ja nicht unterwegs ,,, und wenn möchte ich nicht aufpassen müssen dass hier etwas zu groß sein könnte, abgesehen davon finde ich das auch sehr träge ... das Schöne ist ja, wir haben die Wahl was, wie, wo, ...
February 1, 20224 yr Community Expert 2 hours ago, hawihoney said: Wie soll das denn gehen? Sind Eure Daten fest und unveränderbar? Alles ist natürlich nicht read-only. 1.) Habe ich normale User Shares mit Schreibrechten, wo Daten vom Client manuell ausgelagert werden (Videos etc). Diese Shares sichere ich inkrementell auf eine separate Platte im Array ohne SMB Zugang. Diese Daten sind also nur sicher, solange der Server nicht gehackt wird. 2.) Alle anderen Shares wie Filme, Musik, (alte) Fotos, etc sind read-only. Auch hier darf der Server nicht gehackt werden. Und davon sprach ich in meinem vorherigen Beitrag: 3.) Alle Windows-Clients besitzen einen zweiten read-only User namens "backup". Über diesen User mounte ich den Client in unRAID und lasse dort das Backup vom Client erstellen. Das ist sicher, wenn der Client ODER der Server gehackt wird. Wenn beide gehackt werden, hat man verloren. 4.) Um auch bei einem gehackten Server sicher zu sein (und gegen Einbruch, Feuer, etc), habe ich einen Remoteserver. Der greift ebenfalls nur über einen read-only User zu. Ich verstehe aber, dass das nicht jeder zB aus Kostengründen umsetzen kann. Fazit: Man muss sich Gedanken darüber machen wer alles auf welchen Wegen auch immer Schreibrechte besitzt und diese möglichst vermeidet. Einfach nur eine Backup-Software auf dem Client haben, die aufs NAS sichert, ist jedenfalls keine sinnvolle Methode.
December 29, 20241 yr Ich weiß, dass das fast 3 Jahre alt ist, aber ich habe ein paar Rückfragen On 2/1/2022 at 12:56 PM, mgutt said: 1.) Habe ich normale User Shares mit Schreibrechten, wo Daten vom Client manuell ausgelagert werden (Videos etc). Diese Shares sichere ich inkrementell auf eine separate Platte im Array ohne SMB Zugang. Diese Daten sind also nur sicher, solange der Server nicht gehackt wird. Die Möglichkeit mit einer weiteren Array Platte habe ich gerade nicht bzw möchte da nicht noch rein investieren. Mit 2 externen Backups von diesen Daten aus dem Array bin ich aber doch auch relativ sicher, oder? Ich könnte mir auch vorstellen, dass mein Datengrab nur manuell Schreibrechte bekommt, wenn ich mal was drauf auslagern will. Danach entziehe ich die Rechte einfach wieder. Klar, wenn ich mir Ransomware einfange und die nicht auftaucht bevor ich das Großvater Backup überschrieben habe, dann bin ich am Ar*** On 2/1/2022 at 12:56 PM, mgutt said: 2.) Alle anderen Shares wie Filme, Musik, (alte) Fotos, etc sind read-only. Auch hier darf der Server nicht gehackt werden. Dann könnte ich aber z.B. alte Fotos nicht mehr taggen oder in Alben schmeißen, richtig? Daher denke ich drüber nach, die Fotos nochmal separat abzulegen, mit Client-Schreibrechten und dann eben nur über Backups eine gewisse Sicherheit reinholen... Generell ist doch das Thema sortieren und taggen sehr kritisch, weil ich dafür Schreibrechte brauche und das vielleicht sogar regelmäßig mache... Die einzige Möglichkeit ist doch sonst nur über das GUI vom Server zu arbeiten, richtig? On 2/1/2022 at 12:56 PM, mgutt said: 3.) Alle Windows-Clients besitzen einen zweiten read-only User namens "backup". Über diesen User mounte ich den Client in unRAID und lasse dort das Backup vom Client erstellen. Das ist sicher, wenn der Client ODER der Server gehackt wird. Wenn beide gehackt werden, hat man verloren. Gute Idee! Also unter Unraid lege ich Beispielsweise einen "Windows-PC-Backup"-User an und der schreibt aus der Windows Software (kannst du eine empfehlen? Urbackup? Duplicati?) auf einen eigenen Share? On 2/1/2022 at 12:56 PM, mgutt said: 4.) Um auch bei einem gehackten Server sicher zu sein (und gegen Einbruch, Feuer, etc), habe ich einen Remoteserver. Der greift ebenfalls nur über einen read-only User zu. Ich verstehe aber, dass das nicht jeder zB aus Kostengründen umsetzen kann. Kann ich halt nur über 2 Backups realisieren. Eine Platte ist dann in der Synology und die andere im Keller oder bei meinen Eltern. Müsste meinen Vater mal überzeugen, dass wir gegenseitig Speicherplatz für sowas zur Verfügung stellen...
December 29, 20241 yr 1 hour ago, cottec said: Die Möglichkeit mit einer weiteren Array Platte habe ich gerade nicht bzw möchte da nicht noch rein investieren. Mit 2 externen Backups von diesen Daten aus dem Array bin ich aber doch auch relativ sicher, oder? Ich könnte mir auch vorstellen, dass mein Datengrab nur manuell Schreibrechte bekommt, wenn ich mal was drauf auslagern will. Danach entziehe ich die Rechte einfach wieder. Klar, wenn ich mir Ransomware einfange und die nicht auftaucht bevor ich das Großvater Backup überschrieben habe, dann bin ich am Ar*** eine Variante ist recht simpel, extern das Backup "pullen" und den Zugang nur mit Leserechten versehen ... das externe Gerät dann auch nur als Backup Gerät bei Bedarf nutzen, ohne freiem Zugang im Netzwerk sondern nur bei Bedarf und Login ... dann hast du ein Gerät was von Ransomware zumindest nicht einfach infiltriert werden kann und sich Backups nur pullt und auch nichts an der Quelle verändern kann ..
December 29, 20241 yr Alles per skript nehme ich an? Finde ich für den Anfang extrem schwierig, mir fehlt total der berufliche Background, bin hier echt ein Amateur, der versucht, sich das alles logisch zusammen zu spinnen... Aber klar, alles als Pull macht Sinn. hilft mir aber auch nur, wenn ich nicht einmal die Ransomware bis ins letzte Backup pulle, richtig? Oh man, ich komm zu keinem Start, weil ich keinen Strahl hab was ich jetzt machen soll 🤣
December 29, 20241 yr Just now, cottec said: Alles per skript nehme ich an? ja, daher sagte ich ja bereits bei deiner Frage ... bin ich nicht fer richtige Ansprechpartner. aber mal ernsthaft, zum Start ... mach es dir nicht zu kompliziert ... wieviel Ransomangriffe hattest du bisher ? arbeite dich in ein Backup Tool einfach mal ein (mit GUI) zum verständnis, dann kommen ja evtl. Anforderungen ... dann Suche nach Lösungen ... bis zur Lösung ... aber zum Start nach Tag 1 das "perfekte" System zu haben ist unwahrscheinlich
December 29, 20241 yr ja schon, aber ich könnte ja zumindest die Backup Richtung direkt so machen, wie sie sinnig ist. Und das mit den lesenden Backups ist defintiv sinnig. Ganz ehrlich, auf die Diskstation geh ich gerade auf nen admin und bügel da mit dem dämlichen Synology Drive Client drauf. Die Software ist Müll und unsicher ist meine Vorgehensweise auch.... Klar, ich könnte jetzt fürs erste (grundsätzlich die Struktur aufbauen) erst mal Windows Software nehmen, ja. Aber selbst da weiß ich nicht welche, ich würde aus dem Bauch heraus aber mal Duplicati nehmen. Muss dann aber die davon angelegte Backup Struktur irgendwann komplett über den Haufen schmeißen, wenn >1TB geschrieben wurde, das nervt dann natürlich... Ich denke Appdata Backup und Luckybackup helfen mir erst mal, in die Skript Geschichte reinzukommen und damit dann hoffentlich damit die Backups von Unraid zu regeln. Also schaufel ich jetzt per Software und Schreibrechten erst mal ein initiales Backup auf den Server und versuche das dann mal zu sichern
December 29, 20241 yr 38 minutes ago, cottec said: Klar, ich könnte jetzt fürs erste (grundsätzlich die Struktur aufbauen) erst mal Windows Software nehmen, ja. also wenn es dir um Win Clients geht (oder Win VM's) ... dazu empfehle ich "stumpf" nur 2 Dinge 1/ VM, nur stumpfes vdisk copy und xml copy ... ist halt sehr groß ... oder Win interne Image Sicherung auf das NAS (so mache ich hier das ...) - vdisk copy > Wiederherstellung dauert solange es braucht das Image zu kopieren ... - Win Image Sicherung ... solange eine Neuinstallation von Windows dauert zzgl. des zum Start verlangten Mehraufwands und entsprechend der Größe ... 2/ Win Clients extern, Win interne Image Sicherung ... hatte ich das ein oder andere mal benutzt zum recovern, war immer wunderbar ... da braucht es für mich nichts "extra" ... ansonsten schaue ich das ich alle meine Files halt eh in der lokalen Cloud (Nextcloud hier) halte ...
December 29, 20241 yr achso ne, also das Systembackup selbst ist jetzt nicht so wild, das hab ich und brauche ich auch ehrlicherweise nicht tagesaktuell... Das sind 130GB, die ich dann im Fall der Fälle per Rescue USB Stick oder so wieder drauf bügel. Mir gehts nur um die Daten vom Windows PC, also ausgewählte Ordner mit Dateiversionierung und am besten täglichen inkrementellem Backup.
December 29, 20241 yr Ich habe für die Windows clients "urBackup" entdeckt. Gibt hier auch im AppStore. Da richtet man einen share in UNRAID ein, installiert auf den clients jeweils das urBackup Plugin, und sucht sich noch die zu sichernden Ordner aus. Gibt auch diverse Anleitungen im Netz. Bin soweit eigentlich Recht zufrieden
December 29, 20241 yr 5 hours ago, jj1987 said: Ich habe für die Windows clients "urBackup" entdeckt. Gibt hier auch im AppStore. Da richtet man einen share in UNRAID ein, installiert auf den clients jeweils das urBackup Plugin, und sucht sich noch die zu sichernden Ordner aus. Gibt auch diverse Anleitungen im Netz. Bin soweit eigentlich Recht zufrieden Jap, habe ich auch schon gefunden, bin noch skeptisch, ob ich das einem Duplicati vorziehen soll oder nicht. Das urBackup macht auf mich den Eindruck, dass es sich doch schon an eher erfahrene User richtet... Weißt du, ob die Daten erreichbar sind im Backup und dann auch in der Originalstruktur? Also quasi der Fall, dass man einen gezielten Order oder so wiederherstellen will? Weiß auch nicht, wie das bei Duplicati ist ehrlicherweise Und zum eigentlichen Thema: Wenn ich jetzt sagen wir meine gesamte Datendisk vom PC im Netzwerk nur lesend freigebe für den benutzer unraid_backup Und das Ding dann unter unassigned devices einbinde, dann habe ich ja meinen Lesezugriff. Über das WebUi von z.B. Duplicati kann ich mir das dann ja alles wunderbar auf den Server ziehen, richtig? Edited December 29, 20241 yr by cottec
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.