> Gorzej natomiast z serwerem projektowym. Co
> prawda wymaga logowania, ale jak ktoś się zaloguje, to mając uprawnienia
> może zniszczyć katalogi. Tutaj nie widzę skutecznego zabezpieczenia,
> jedynie robienie kopii.

Wymyśliłem, działa, czy będzie skuteczne - obym się nigdy nie przekonał.

Serwer NAS robi kopię bezpośrednio na innym serwerze NAS, połączone
bezpośrednio. Kopia jest robiona każdego dnia w nocy, trzymane jest
kilka ostatnich.
Jak serwer pierwszy padnie, to na drugim (nie zalogowanymi userami)
będzie kopia z dnia wczorajszego i poprzednich. Jeżeli uda się złapać
moment zarażenia i zaszyfrowania, to paść powinien tylko pierwszy i
ewentualnie najmłodsza kopia na drugim. W weekendy nie pracujemy, więc
kopia się nie robi, żeby nie przepychać niepotrzebnie bekapów.
Ktoś widzi słabe strony może?

Irek.N.

do góry

On 01.01.2019 22:21, Irek.N. wrote:

> Jak serwer pierwszy padnie, to na drugim (nie zalogowanymi userami)
> będzie kopia z dnia wczorajszego i poprzednich. Jeżeli uda się złapać
> moment zarażenia i zaszyfrowania, to paść powinien tylko pierwszy i
> ewentualnie najmłodsza kopia na drugim.
Ty zakładasz uruchomienie złośliwego kodu na serwerze kopii zapasowej?
To równie dobrze mogą obydwa być zarażone i nic się nie ostanie.
Jeśli użytkownik sobie coś uruchomi na swoim komputerze i zniszczy
pliki, to zakładając, że serwer zrobi kopię tych zniszczonych w dobrej
wierze - zawsze masz poprzednie wersje - nie wiem po co tu drugi serwer.
Drugi serwer miałby sens w innej lokalizacji - na wypadek pożaru czy
włamania.
Jeżeli nad jednym projektem pracuje kilka osób to rozważył bym też SVN.

--
Mirek.
https://www.youtube.com/watch?v=O6m2Cg2FXHc

do góry

> Ty zakładasz uruchomienie złośliwego kodu na serwerze kopii zapasowej?

Nie, zakładam, że jakiś komp zarażono, a uprawnienia usera zalogowanego
do niego pozwalają niszczyć zawartość serwera pierwszego. Nie wyobrażam
sobie zarażenia samego serwera - zupełnie inne środowisko w stosunku do
OS kompa.


> To równie dobrze mogą obydwa być zarażone i nic się nie ostanie.
> Jeśli użytkownik sobie coś uruchomi na swoim komputerze i zniszczy
> pliki, to zakładając, że serwer zrobi kopię tych zniszczonych w dobrej
> wierze - zawsze masz poprzednie wersje - nie wiem po co tu drugi serwer.

Jakoś mam awersję do robienia kopii na "samym sobie". Kopia ma być
pewna, a na źródłowym serwerze nigdy nie jest.

> Drugi serwer miałby sens w innej lokalizacji - na wypadek pożaru czy
> włamania.

Niekoniecznie. Pada Ci serwer (w sensie nie soft, ale powiedzmy płyta
główna). Tego nie ogarniesz w jeden dzień, a pracować trzeba. Idealnie
nada się drugi serwer z kopią pierwszego. Stracisz co najwyżej jeden
dzień pracy (jak padnie na koniec pracy).

To o czym piszesz jest bardzo ważne, ale jak rozmawiam ze znajomymi -
prawie nikt nie "wynosi" bekapów poza siedzibę.

Miłego.
Irek.N.

do góry

jedrek <w...@...on> napisał(a):
> Czy Skype jak już zestawi połączenie między dwoma użytkownikami
> siedzącymi obustronnie za NAT-ami (zakładam, że relizuje to serwer bez
> którego takie zestawienie by nie zaistniało) to już serwer nie
> pośredniczy w takim ruchu do czasu jak takie połączenie zostanie
> zakończone?


Skype już nie wykorzystuje P2P.

--
Grzegorz Niemirowski

do góry

W dniu 28.12.2018 o 23:00, Irek.N. pisze:
>> U znajomego w firmie właśnie wirus zaszyfrował pliki na komputerze i
>> na serwerze do których użytkownik miał dostęp, a że miał dostęp prawie
>> do wszystkiego, to okup zapłacić musieli.
>
> Odszyfrowali im? Ile?

Tak, 0,1 BTC

do góry

W dniu 2019-01-01 o 22:21, Irek.N. pisze:
> > Gorzej natomiast z serwerem projektowym. Co
>> prawda wymaga logowania, ale jak ktoś się zaloguje, to mając
>> uprawnienia może zniszczyć katalogi. Tutaj nie widzę skutecznego
>> zabezpieczenia, jedynie robienie kopii.
>
> Wymyśliłem, działa, czy będzie skuteczne - obym się nigdy nie przekonał.
>
> Serwer NAS robi kopię bezpośrednio na innym serwerze NAS, połączone
> bezpośrednio. Kopia jest robiona każdego dnia w nocy, trzymane jest
> kilka ostatnich.
Jeżeli dobrze rozumiem to jedynka robi kopię na dwójkę, co znaczy że z
jedynki można "namieszać" na dwójce.
Jeżeli to dwójka będzie pobierać dane z jedynki (konto tylko do odczytu
z jedynki), to jedynka nie mając żadnych praw na dwójce nie ma szans nic
zepsuć. Taka zmiana: zamiast pchać ciągniemy.

> Jak serwer pierwszy padnie, to na drugim (nie zalogowanymi userami)
> będzie kopia z dnia wczorajszego i poprzednich. Jeżeli uda się złapać
> moment zarażenia i zaszyfrowania, to paść powinien tylko pierwszy i
> ewentualnie najmłodsza kopia na drugim.
Analogicznie - jeżeli dwójka nic nie udostępnia to jest bezpieczna na
ataki ze stacji roboczych i z NASa jedynki.

W weekendy nie pracujemy, więc
> kopia się nie robi, żeby nie przepychać niepotrzebnie bekapów.
> Ktoś widzi słabe strony może?
>
Jak już ktoś wspominał, do pracy zespołowej to najlepiej repozytorium, i
łatwiej zrobić kopię, i jest kontrola co kto kiedy wgrał i co zmienił,
plus łatwy powrót do poprawnej wersji pliku (jak ktoś coś popsuje albo
zrobi błąd).

--
Pozdrawiam
Piotrek

do góry

>> Odszyfrowali im? Ile?
>
> Tak, 0,1 BTC
>

Nieźle, jestem pozytywnie zaskoczony. Znaczy cały proceder jest chamówą
na maxa, ale spodziewałem się raczej zostawienia gości z problemem.

Miłego.
Irek.N.
ps. budują sobie dobrą markę, czy jak ;)

do góry

> Jeżeli dobrze rozumiem to jedynka robi kopię na dwójkę, co znaczy że z
> jedynki można "namieszać" na dwójce.

Tak, ale środowisko z którego możemy zarazić (WIN?), jak i to w NAS-ie
są zupełnie różne, upatruję więc w tym jakąś przeszkodę w zarażaniu.
Dodatkowo udostępniony jest jedynie katalog/katalogi na jedynce, więc
włamywać trzeba by się dokładnie tak samo, jak gdyby nic nie było
udostępnione.
Możliwe, że różnica była by jedynie w braku całej usługi udostępniania,
ale po co komu serwer z którego nic nie można pobrać?

> Jeżeli to dwójka będzie pobierać dane z jedynki (konto tylko do odczytu
> z jedynki), to jedynka nie mając żadnych praw na dwójce nie ma szans nic
> zepsuć. Taka zmiana: zamiast pchać ciągniemy.

Jasne, idea cacy (może poza tym, że jeszcze nie wiem czy tak da się
zrobić). W założeniu dwójka jest tylko buforem kopii, niedostępnym
(nawet fizycznie - w sensie sieci) dla żadnego użytkownika.

> Analogicznie - jeżeli dwójka nic nie udostępnia to jest bezpieczna na
> ataki ze stacji roboczych i z NASa jedynki.

Ale dlaczego? Tak samo można ją łamać jak każdą inną. Bardziej
utrudnieniem może być to, że serwery spięte są osobnym lanem - tylko
pomiędzy sobą, więc każde łamanie musi z natury być rozpoczęte od
złamania pierwszego. Nie wiem, czy da się zrobić z NAS-a router... ja
nie potrafię sobie tego wyobrazić (wiem, że można napisać własny kod i
teoretycznie wszystko się da).

> Jak już ktoś wspominał, do pracy zespołowej to najlepiej repozytorium, i
> łatwiej zrobić kopię, i jest kontrola co kto kiedy wgrał i co zmienił,
> plus łatwy powrót do poprawnej wersji pliku (jak ktoś coś popsuje albo
> zrobi błąd).
>

No tak, w sofcie który używam jest nawet dedykowany taki mechanizm.
Kłopot w tym, że tanie toto nie jest, a w moim przypadku aż tak wiele
nie poprawia, więc odpuściłem.

Miłego.
Irek.N.

do góry

On 1/2/19 3:27 PM, Irek.N. wrote:
>> Jak już ktoś wspominał, do pracy zespołowej to najlepiej repozytorium,
>> i łatwiej zrobić kopię, i jest kontrola co kto kiedy wgrał i co
>> zmienił, plus łatwy powrót do poprawnej wersji pliku (jak ktoś coś
>> popsuje albo zrobi błąd).
>>
>
> No tak, w sofcie który używam jest nawet dedykowany taki mechanizm.
> Kłopot w tym, że tanie toto nie jest, a w moim przypadku aż tak wiele
> nie poprawia, więc odpuściłem.

Nie musisz używać dedykowanego rozwiązania od producenta oprogramowania.
Subversion bardzo ładnie radzi sobie z plikami binarnymi, ślicznie się
sprawdziło w wersjonowaniu projektu gdzie miałem grubo ponad 100 GB
zdjęć i binarnych plików projektowych, więc do dowolnego innego projektu
też powinno się nadać. Git też chyba umożliwia pracę z plikami
binarnymi, ale tego nie testowałem.

Jacek.

do góry

Dnia Wed, 02 Jan 2019 21:13:57 +0100, Irek.N. napisał(a):
>>> Odszyfrowali im? Ile?
>> Tak, 0,1 BTC
>>
> Nieźle, jestem pozytywnie zaskoczony. Znaczy cały proceder jest chamówą
> na maxa, ale spodziewałem się raczej zostawienia gości z problemem.
>
> Miłego.
> Irek.N.
> ps. budują sobie dobrą markę, czy jak ;)

Zawsze mozna scedowac do zewnetrznej firmy.
Nasi specjalisci nic nie obiecuja, ale czasami sobie radza.
Oplata tylko w razie sukcesu, faktura VAT ...

J.

do góry