Re: [請益] 買硬碟還是買NAS好?

作者rotalume (rotalume)

看板PC_Shopping

標題Re: [請益] 買硬碟還是買NAS好?

時間Thu Jan 6 02:27:51 2022

不是高手，不過分享一下我自己15年開始用到現在還沒有被打過我的NAS基本上 1. 不放在DMZ，不直接連PPPoE，對外也不公開任何可以直連NAS的服務(如NAS的web) 2. 所有對外服務都經過docker當sandbox，也就是port forwarding直接到特定的docker 3. 所有well-known port都關閉或挪作它用 4. 所有內網的電腦對NAS皆唯讀，只有NAS可以主動備份各電腦 5. 新版韌體有重要CVE會在release兩週左右更新，沒有的話就等一個月沒災情再說 6. 所有內網實體電腦都開啟防火牆允許實際會使用的服務跟掃毒軟體 7. 異地備份以reverse ssh proxy + rsync執行，ssh的交握不允許password 大多數的ssh key也都專用不互相信任目前看下來是基地台常常被掃port，但因為我不用固定ip只用ddns，所以掃了也沒啥用 NAS上的內建防火牆則完全沒看過被亂測的log。docker上是有看到一些異常連線紀錄但大概也就試一試進不來就沒再看過了這樣在某些人眼中還不算嚴謹，但人總是有惰性所以這樣對我來說還算可以然後最近有感受到RAID1也不完全算是備份，因為我在RAID1上也是跑了簡單的小服務剛好有天斷電，就發現那段資料在RAID的scrubbing也救不回來，還好不是什麼重要的，直接砍掉重練只是比起常常會連到外網的電腦我還是比較相信外網不能直連的NAS 還有比起會刪My Documents的Windows.....XD ※ 引述《hans7192 (Hans)》之銘言： : 原文全刪推文中有人提到勒索病毒 : 不久前我就中了剛好可以分享一下先上圖 : https://imgur.com/ZdvWsFM : 當初買NAS的用意是希望用最簡單的方式能達到最基本的備份保護 : 就像把照片從D槽COPY到E槽這樣而已 : 以及放藍光電影可以讓房間mac mini當隨選電影就像MOTEL的VOD : 現在被駭客利用漏洞大規模攻擊下 : jpg檔全死 fuji的raw檔也死 nikon的raw檔跟藍光mkv檔沒事 : fuji是後期的相機這2年的照片在桌機還有損失的就17-18年照片 : 目前做法打算用單顆硬碟開機將另一顆接桌機format成ntfs : 再搬移資料搬完後再format另一顆用windows 做raid 1就好 : 不再用nas : 如果你沒有想要做異地存取資料可以不用買nas : 只是想要做"最簡單的方式達到最基本的備份保護" : windows raid 1就好 : 備份保護越高級錢跟手法是天秤自己衡量 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.169.32.112 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1641407273.A.8B4.html

推 yoyo178134 : 遠端存取用ddns+vpn嗎 111.251.44.74 01/06 03:51

我用ssh reverse proxy, vpn懶得搞

推 RaiGend0519 : 看下來覺得還是外接手動Raid1+雲端 122.118.5.5 01/06 04:36

→ RaiGend0519 : 比較適合一般人 122.118.5.5 01/06 04:37

→ RaiGend0519 : USB物理牆當防火牆，雲端做關鍵資料 122.118.5.5 01/06 04:38

看你要拿NAS幹啥，如果只是要備份就不會這麼麻煩但如果你會想拿NAS當對外的服務就開始要考慮一堆事

→ RaiGend0519 : 備份，有錢再搞個異地放老家 122.118.5.5 01/06 04:39

推 ultimatevic : 來學一下docker怎用好了… 218.166.168.11 01/06 08:43

推 crono0 : 會斷電應該是要考慮UPS... 39.10.4.14 01/06 09:29

是沒錯，但我的重點是放在資料不一定永遠都沒事，尤其是只有一份的時候

推 B0988698088 : 光第3點板上一堆屁孩就不會了乖乖 101.10.0.37 01/06 10:04

→ B0988698088 : 用das吧 101.10.0.37 01/06 10:04

每個人的資訊程度本來就不一樣，所以我也只是提供一些關鍵字跟想法參考應該沒有必要貶低別人吧

推 nasa01 : 我不懂沒事別人入侵你nas要幹嘛 61.228.110.160 01/06 10:17

→ nasa01 : 你家又不是姓顏或是啥高官 61.228.110.160 01/06 10:17

小心政治文，你也可以看一下我引的文，樓主就是被勒索

推 dsin : 這用法非資訊出身的人怎麼辦?123.193.111.125 01/06 10:18

當參考囉，我也不是一開始就這樣作

推 kashima228 : 我超懶惰設定打錯兩次鎖ip 一天120.107.209.106 01/06 10:32

→ kashima228 : 所以我只做兩份異地備援而已120.107.209.106 01/06 10:33

這我比較怕搞到我自己，偶爾還是會手殘打錯XDDDDDD ※ 編輯: rotalume (36.226.162.89 臺灣), 01/06/2022 11:08:16

→ seoiotoshi : 入侵之後加密勒索阿哪裡沒事XD 114.35.119.200 01/06 11:42

推 Litfal : 斷電請用電源備援 27.247.4.233 01/06 11:42

→ seoiotoshi : 還在那邊我無名小卒就是因為無名小 114.35.119.200 01/06 11:42

→ seoiotoshi : 卒駭客才沒有負擔加密完後就你的 114.35.119.200 01/06 11:43

→ seoiotoshi : 問題了 114.35.119.200 01/06 11:43

→ tlight : 對付駭客就是要有魄力，把格式化的 101.12.102.77 01/06 12:23

→ tlight : 影片寄給他看，再罵他一句髒話叫他 101.12.102.77 01/06 12:23

→ tlight : 很厲害就請再來 101.12.102.77 01/06 12:23

我沒有這個魄力我是俗仔..Orz

推 Esvent : 我自己是port全關，Port Knocking 27.242.225.211 01/06 13:22

→ Esvent : 成功才允許連到VPN的Port 27.242.225.211 01/06 13:22

→ Esvent : 未來打算再加上動態Port Knocking 27.242.225.211 01/06 13:24

→ Esvent : ，每天更新+TG通知這樣 27.242.225.211 01/06 13:24

動態port knocking會對某些連入或需要reverse proxy的不友善...Orz

推 Litfal : 無名小卒優勢在於你port或服務該關 27.247.4.233 01/06 13:56

→ Litfal : 的關一關，不要裸奔，那些殭屍沒那 27.247.4.233 01/06 13:56

→ Litfal : 麼閒戳你一人 27.247.4.233 01/06 13:56

推 dustlike : 專業推 61.219.126.91 01/06 14:01

我是希望有人可以教一下看有沒有更懶但更有效的方法啦XD

推 shinkiro : 各種電腦只讀不能覆寫蠻重要的，意 101.12.20.158 01/06 16:05

→ shinkiro : 想不到的電腦中毒→通通加密太爽了8 101.12.20.158 01/06 16:05

→ shinkiro : 88 101.12.20.158 01/06 16:05

這還得要搭配NAS本身不對外公開，不然像我引的這篇就是NAS直接被打掉了用NAS這種封閉的系統就是希望他能夠把該作的事作好，服務由其它電腦開這樣壞就只壞電腦，資料還會有一份備份在NAS上我最近重灌就覺得蠻爽的，資料不太需要備，因為平常都有每天跑，重灌完倒回來就好只有那些限裝置的程式比較討厭一點 ※ 編輯: rotalume (36.226.162.89 臺灣), 01/07/2022 00:36:07