Aller au contenu

Synchro dossier chiffré démonté


Wolfseal

Messages recommandés

Bonjour,

Afin de tenter d'assurer la sauvegarde de certains dossiers, j'aimerais faire la synchro de données dans un dossier chiffré mais pour être sûr qu'un crytolocker ne vienne pas m'ennuyer (et si j'ai bien compris), il faut pour le préserver que celui-ci soit démonté.

D'où ma question: comment puis-je via un script avant synchro, monter mon dossier chiffré pour synchro et une fois fini, le démonter.

J'utilise actuellement syncback.

Et idéalement lancer ce script pour monter ponctuellement ce dossier pour y accéder via DS file (avec ou sans VPN).

 

Merci de votre aide

Lien vers le commentaire
Partager sur d’autres sites

nb : IL NE FAUT PAS PAYER LA RANÇON

Le chiffrement de certains dossiers du nas n'est pas une protection contre un Xlocker (synolocker/cryptolocker/...), mais contre un vol ou un reset de mot de passe :

  • si tu peux monter automatiquement ce dossier, c'est qu'il n'est pas sécurisé, donc le chiffrement ne sert à rien
  • si c'est le syno qui est vérolé (synolocker) : ton dossier chiffré sera rechiffré et donc perdu aussi
  • si le virus se lance avant la sauvegarde et que tu ne t'en aperçois pas, tu sauvegarderas des fichiers chiffrés
  • si le virus se lance au moment de ta sauvegarde, il pourra accéder à la sauvegarde et la chiffrer

En pratique il y plusieurs manières de faire :

  • le système de sauvegarde va chercher les fichiers (pull) : dans ce cas un simple versionning permet de se mettre à l’abri
  • on fait une chaine de sauvegarde (dans cet ordre) :
    1. backup du backup : on sauvegarde la sauvegarde
    2. puis, backup de la source : on sauvegarde les données après avoir sauvé la sauvegarde
  • on peut aussi combiner les 2

Dans ton cas, une manière simple de faire (pas 100% fiable mais raisonnable) serait d'utiliser un autre compte pour la sauvegarde :

  1. compte wolfseal : ton compte (il ne doit pas être admin)
    • tu accèdes à tes données avec ce compte
    • tu n'as pas accès aux sauvegardes
  2. compte backup avec super mdp (il ne doit pas être admin)
    • syncback utilise ce compte pour monter le dossier backup et faire son travail, il le démonte à la fin
  3. sur le syno
    • tu créés une tache de sauvegarde du dossier de backup vers un autre emplacement (autre partage, disque externe, cloud, ...)
Lien vers le commentaire
Partager sur d’autres sites

OK

Merci pour tes réponses.

Je ne pensais pas que l'on pouvait faire un chiffrement de chiffrement si le dossier n'était pas monté.

Je vais suivre tes conseils même si faut que je fasse de la place ^^

Par contre aurais-tu un script qui permet à syncback de monter et démonter le dossier car il ne fait que des exe,bat et vbs donc je ne vois pas comment appeler une commande sh sur le NAS.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Wolfseal a dit :

Je ne pensais pas que l'on pouvait faire un chiffrement de chiffrement si le dossier n'était pas monté.

J'ai juste dit que le fait qu'un dossier soit ou non chiffré n'avait pas de rapport avec le fait qu'il puisse ou non être rançonné.

Si un dossier (chiffré ou non) n'est pas accessible (par exemple virus sur un mac mais dossier inaccessible depuis le mac), il ne pourra pas être rançonné.

Mais si le virus est sur le nas (il existe des variantes qui attaquent les syno), tout ce qui est sur le nas peut être touché, chiffré ou non.

Il y a 3 heures, Wolfseal a dit :

Par contre aurais-tu un script qui permet à syncback de monter et démonter le dossier

Si le dossier est chiffré et démonté, ça ne sera pas facile à faire (à ma connaissance il n'y a pas d'api sur les syno), il te faut donc 2 scripts :

  • un script sur le nas en attente d'un requête : ce script monte/démonte le dossier chiffré
  • un script (lancé par syncback) sur le poste à sauvegarder qui envoi cette requête au syno

A ta place, ce que je ferais :

  1. dossier chiffré pour éviter le vol de données en cas de vol des disques ou du syno
  2. monté en permanence (je n'ai pas dit automatiquement)
  3. compte dédié pour la tache de backup (syncback utilise ce compte pour se connecter au nas)
Lien vers le commentaire
Partager sur d’autres sites

bonjour,

je me permets de rebondir sur ce sujet, il répond quasiment à mon soucis du moment.

Petite remise dans le contexte, je m'occupe de la sauvegarde des fichiers dans une TPE, nous sauvons 2 ordis pour un volume de 500 Go~1To. 

Les fichiers sont stockés sur un PC en raid1 (miroir), sauvé tous les soirs via une sauvegarde externe (dotspirit.com).

Admettons que ce PC soit vérolé (avec un cryptolock par exemple), rien n'empêchera la sauvegarde externe de sauver aussi les fichiers vérolés ...

Du coup, j'aimerais rajouter un NAS pour sauver en parallèle de la solution internet, j'aimerais surtout que ce NAS soit protégé par un antivirus béton capable de ne pas sauver de fichiers vérolés ... On est dans le domaine du possible ?

Merci de votre attention 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, fp3006 a dit :

Du coup, j'aimerais rajouter un NAS pour sauver en parallèle de la solution internet, j'aimerais surtout que ce NAS soit protégé par un antivirus béton capable de ne pas sauver de fichiers vérolés ... On est dans le domaine du possible ?

C'est un question de méthode, pas de matériel. Relis ce post : à lire

Que la sauvegarde soit sur un nas, sur les serveurs d'une entreprise tierce ou sur un disque usb, le pb reste le même.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.