ullibelgie Posted February 1, 2022 Share Posted February 1, 2022 Mgutt empfiehlt ja (und wohl nicht nur er), daß man Unraid am Besten nur mit Leserechten für die Client computer betreiben sollte. Also alle Shares für alles Users nur auf Lesen setzen.... Aber hilft das wirklich ? Denn es kommt ja wohl auf die Programmierung des Virus an - wenn sich das in den korrekten Daten inaktiv "versteckt", bis es "abgeholt" wird und dadurch auf neue Hardware übertragen wird und erst dann aktiv wird.... Dann würde auch durch einen Lesevorgang der Verschlüsselungsprozess eingeleitet... Das virus wäre dann kaum abzuwehren... Oder ist das Fiktion ?! Aber mir ist die Logik nur Leserechte zu vergeben schon einleuchtend - das ist etwas was einfach zu machen ist und hilft zumindest. Jetzt meine Frage: Man könnte die Leserechte doch immer bestehen lassen. Wenn man dann doch mal irgendetwas von einem Client übertragen will und auf den Server schreiben will, dann geht man über das WebGui von Unraid (starkes Password) in den Docker Krusader und veranlasst den Datenübertrag von Client auf Server mit dem Krusader-Docker. Unter welchem User arbeitet Krusader eigentlich ? Unter root ?! Und wäre das dann ein halbwegs sicherer Datenübertrag vor Ransomware... ?! Zumindest wenn die Datei selbst nicht das Virus enthält (Antivirusprogramme auf den Clients) Und: Wenn man mit einem Docker wie Paperless-ng arbeitet und von einem Share auf Unraid (die Daten befinden sich also schon auf dem Server) dann in die Doc-Datenbank von Paperless-ng importiert: Unter welchem User passiert das ? Auch hier sind doch für irgendwen Schreibrechte nötig ? Wenn man das unterbinden wollte funktioniert die ganze Dokumentenverwaltung nicht mehr ! Auch lucky-Backup als Docker auf dem Server: - lucky-Backup liest vom Client computer mit lese Rechten dort. - Lucky-Bachup schreibt aber auf dem Server - mit welchem User-account dann ?! Root ? Wieder einen Haufen Fragen... so geht das eben mit den Hobby-IT'ern... (anderes Wort für Anfänger) - sorry! Ich will eben keine törichten Fehler machen... Quote Link to comment
mgutt Posted February 1, 2022 Share Posted February 1, 2022 Du hast den Client mit seinen Daten und den Server. Wird eines von beiden gehackt, sind die Daten noch auf dem jeweils anderen. Da der eine nicht auf den anderen schreiben kann, kann er auch nichts verschlüsseln. Wird also der Client gehackt, kann er nicht das Backup verschlüsseln. Wird der Server gehackt, kann er nicht den Client verschlüsseln. Ob nun ein Virus vom Client in einem Backup auf dem Server steckt ist völlig irrelevant, weil du Dateien aus dem Backup ja nicht auf dem Server ausführst (und nein, das kann nicht einfach so passieren, schon gar nicht unter Linux). Du darfst dich natürlich nicht mit dem Client auf dem Server zb per root anmelden. Den Login könnte bei einem gehackten Client mitgelesen werden. Außerdem besteht natürlich die geringe Wahrscheinlichkeit, dass der Client gehackt wird, während der Server auch eine Sicherheitslücke besitzt. Genau deswegen gilt in der Industrie die 3-2-1 Backupregel: 3 Kopien auf mindestens 2 verschiedenen Datenträgern und 1 Kopie an einem externen (Offline) Standort. Wie viel man davon nun privat umsetzt, muss natürlich jeder selbst entscheiden. 1 hour ago, ullibelgie said: Auch lucky-Backup als Docker auf dem Server: - lucky-Backup liest vom Client computer mit lese Rechten dort. - Lucky-Bachup schreibt aber auf dem Server - mit welchem User-account dann ?! Root ? Ob Lucky Backup root hat (hat es nicht, weil Container), spielt keine Rolle, weil das ja auf dem Server stattfindet, der dem Client nichts anhaben kann. Hat Lucky Backup eigentlich User Logins? Wenn nein, wäre Lucky Backup sinnlos, weil der Angreifer ja nur auf die GUI wechseln müsste um die Backups zu löschen. Quote Link to comment
mgutt Posted February 1, 2022 Share Posted February 1, 2022 1 hour ago, ullibelgie said: Wenn man mit einem Docker wie Paperless-ng arbeitet und von einem Share auf Unraid (die Daten befinden sich also schon auf dem Server) dann in die Doc-Datenbank von Paperless-ng importiert: Unter welchem User passiert das ? Auch hier sind doch für irgendwen Schreibrechte nötig ? Wenn man das unterbinden wollte funktioniert die ganze Dokumentenverwaltung nicht mehr ! Deswegen sichere ich alle Container inkrementell auf eine HDD im Array. Container können nur das verändern wo sie Rechte für besitzen. Also die Pfade, die in den Einstellungen hinterlegt sind. Deswegen ist bei mir Krusader auch dauerhaft aus. Ein Container mit Schreibrechten auf /mnt besitzt viel zu viel Macht. Plex hat bei mir zb ausschließlich lesende Rechte auf die Filme. Quote Link to comment
hawihoney Posted February 1, 2022 Share Posted February 1, 2022 (edited) 1 hour ago, ullibelgie said: Also alle Shares für alles Users nur auf Lesen setzen. Wie soll das denn gehen? Sind Eure Daten fest und unveränderbar? Zum Schutz vor Viren hilft wie im wahren Leben <hust hust> vor allen Dingen "Hirn einschalten". Dazu auf Klienten wie Windows einen wirksamen Schutz auf diesen installieren. Regelmäßige Backups der unverzichtbaren Daten (inkl. Unraid Flash) gehören ebenso dazu. Und vor allen Dingen: Nicht jeden Sch***ß installieren sondern eher mäßigen und reduzieren. Hat man mal ein funktionierendes Umfeld geschaffen, dann kann man auch mal aufhören, alles und jedes aufzurufen und installieren. Ich kann mir noch nicht mal ansatzweise vorstellen, wie ich mit auf Lesen reduzierten Netzwerkverbindungen umgehen soll. So sieht es bei uns aus: - Alle Disk-Shares hidden - User-Shares abgeschaltet - Kein Cache - FTP abgeschaltet (nach jedem Reboot erneut) - Die Handvoll Docker Container (SWAG, Plex, Nextcloud, Code-Server, MakeMKV, NZBGet und MKVToolNix) haben natürlich mehr oder weniger Zugriff auf alles was für sie notwendig ist. Meist r/w außer bei Plex. - SSL Zugriff von außen nur für Plex und Nextcloud - Weitergehender Zugriff von außen nur über VPN (Fritz) Kommen wir zu den Klienten wie Windows. Hier ist es schwieriger. Da wir alle auf dem Server direkt arbeiten, muss für diese das r/w freigegeben sein. Hier nutzen wir WebDAV zu Nextcloud. Edited February 1, 2022 by hawihoney Quote Link to comment
alturismo Posted February 1, 2022 Share Posted February 1, 2022 22 minutes ago, hawihoney said: Wie soll das denn gehen? Sind Eure Daten fest und unveränderbar? das frag ich mich auch als ... 22 minutes ago, hawihoney said: Zum Schutz vor Viren hilft wie im wahren Leben <hust hust> vor allen Dingen "Hirn einschalten". und so sehe ich das auch, was muss ich machen um mir alles zu verhauen ... irgendeinen Dreck ausführen von dem ich nicht weiß ... und dann haben wir hier den Luxus der VM's und bevor ich was installiere was kritisch werden könnte nutze ich halt eine "fire and forget" VM, wobei ich so etwas nicht nutze da ich keinerlei Bedarf für mich sehe ... oder auf welchen Seiten muss man sich tummeln und was auch immer ausführen das so etwas passiert ... 25 minutes ago, hawihoney said: Kommen wir zu den Klienten wie Windows. Hier ist es schwieriger. Da wir alle auf dem Server direkt arbeiten, muss für diese das r/w freigegeben sein. hier komplett SMB offen ... selbst NC Webdav wäre mir da zu träge für diese Zwecke. Extern, ja da kommt hier etwas zusammen, NC mit Onlyoffice, Filebrowser (da schneller), ... dann kommen Dienste wie paperless und co dazu, calibre web und die Multimedia Kiste mit Plex, TVHeadend, xteve Live HLS Server... bissel Grafana hier, bissel adguard da, dann gehöre ich noch zu der Fraktion die auch unraid selbst extern zugänglich hat, dann Router WebUI, dann Switch Webui, dann Mesh Endpunkte WebUI's, usw usw ... die ganzen VNC WebUI's wie Filebot, Luckybackup, Avidemux, ... dann noch bissel guacamole mit RDP's, SSH's, ... usw usw usw ... aber ja, was @mgutt da betreibt ist schon sicherer im Falle das ... nur den Fall kenne ich so nicht da ich nicht willenlos ... Quote Link to comment
hawihoney Posted February 1, 2022 Share Posted February 1, 2022 (edited) 18 minutes ago, alturismo said: Extern, ja da kommt hier etwas zusammen [...] Filebrowser (da schneller) Auf unseren Android Mobilgeräten ist überall der Dateimanager+ installiert und dort Nextcloud als Cloud eingerichtet. Ich finde das von der Performance her ok. 18 minutes ago, alturismo said: calibre web Hmm, bei meinen letzten Versuchen war das grotten langsam und stürzte regelmäßig zum krönenden Abschluss ab. Von der GUI fange ich erst nicht an - fürchterlich. Auch E-Books liegen bei uns wunderbar organisiert in Nextcloud und können im MoonReader direkt geladen werden. Klappt astrein. 18 minutes ago, alturismo said: unraid selbst extern zugänglich hat, dann Router WebUI, dann Switch Webui Und genau die drei würde ich nie nach außen freigeben. Nur hinter VPN. Einige der von Dir freigegeben Dinge können mit Nextcloud abgebildet werden. Nicht falsch verstehen, ich finde den Server Nextcloud ok, aber die Tools drumherum sind m.M.n. eine Katastrophe. Deshalb nutze ich WebDAV und kann dann die Klienten/Tools meiner Wahl verwenden - selbst innerhalb Windows. Edited February 1, 2022 by hawihoney Quote Link to comment
alturismo Posted February 1, 2022 Share Posted February 1, 2022 3 minutes ago, hawihoney said: Hmm, bei meinen letzten Versuchen war das grotten langsam und stürzte regelmäßig zum krönenden Abschluss ab. Von der GUI fange ich erst nicht an du verwechselst das jetzt aber nicht mit der calibre management rdp Kiste ... die war/ist wirklich grottig das läuft wunderbar und ist automatisiert (wie ziemlich alles hier), Buch in Ordner ablegen, ab da wird eingelesen, katalogisiert, automatisch an Kindle gesendet, fertig. und hier der Anfang meines scripts zum Einlesen, konvertieren, etc ... ... 7 minutes ago, hawihoney said: Und genau die drei würde ich nie nach außen freigeben. Nur hinter VPN. Klar und ja, das ist KEINE Empfehlung 7 minutes ago, hawihoney said: Einige der von Dir freigegeben Dinge können mit Nextcloud abgebildet werden Nextcloud ist für mich persönlich ein Krampf ... nur Mittel zum Zweck für Photos (upload, sortieren) und das mein Frauchen schnell und einfach mal ne Excel aufmachen kann unterwegs ... für alles andere (File Management) nutze ich den filebrowser ... eigentlich Käse da ich auch RDP Tools der VM nutzen kann hierfür ... Spieltrieb bei webdav hast du immer das 50mb Limit als default unter Windows (ohne regedit) ... reicht ja auch in der Regel ... aber ich "arbeite" ja nicht unterwegs ,,, und wenn möchte ich nicht aufpassen müssen dass hier etwas zu groß sein könnte, abgesehen davon finde ich das auch sehr träge ... das Schöne ist ja, wir haben die Wahl was, wie, wo, ... 1 Quote Link to comment
mgutt Posted February 1, 2022 Share Posted February 1, 2022 2 hours ago, hawihoney said: Wie soll das denn gehen? Sind Eure Daten fest und unveränderbar? Alles ist natürlich nicht read-only. 1.) Habe ich normale User Shares mit Schreibrechten, wo Daten vom Client manuell ausgelagert werden (Videos etc). Diese Shares sichere ich inkrementell auf eine separate Platte im Array ohne SMB Zugang. Diese Daten sind also nur sicher, solange der Server nicht gehackt wird. 2.) Alle anderen Shares wie Filme, Musik, (alte) Fotos, etc sind read-only. Auch hier darf der Server nicht gehackt werden. Und davon sprach ich in meinem vorherigen Beitrag: 3.) Alle Windows-Clients besitzen einen zweiten read-only User namens "backup". Über diesen User mounte ich den Client in unRAID und lasse dort das Backup vom Client erstellen. Das ist sicher, wenn der Client ODER der Server gehackt wird. Wenn beide gehackt werden, hat man verloren. 4.) Um auch bei einem gehackten Server sicher zu sein (und gegen Einbruch, Feuer, etc), habe ich einen Remoteserver. Der greift ebenfalls nur über einen read-only User zu. Ich verstehe aber, dass das nicht jeder zB aus Kostengründen umsetzen kann. Fazit: Man muss sich Gedanken darüber machen wer alles auf welchen Wegen auch immer Schreibrechte besitzt und diese möglichst vermeidet. Einfach nur eine Backup-Software auf dem Client haben, die aufs NAS sichert, ist jedenfalls keine sinnvolle Methode. 1 Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.