深挖洞，廣積糧，添置鐵威馬F2-220 NAS定期備份數據，抵禦勒索病毒

5月份一波 WannaCry「永恆之藍」勒索病毒鬧得全世界雞飛狗跳，餘波未了，作為一條運維IT狗上個月有整整一個星期時間在忙於給單位的各種電腦打補丁，結果沒消停一個月，本月微軟新的高危漏洞又繼續曝光：LNK文件遠程代碼執行漏洞(CVE-2017-8464)和Windows搜索遠程命令執行漏洞(CVE-2017-8543)。

根據微軟最新公告，LNK文件遠程代碼執行漏洞(CVE-2017-8464)已經發現了在野利用且具有國家背景，黑客可以通過U盤、光碟、網路共享等途徑觸發漏洞，完全控制用戶系統，對基礎設施等隔離網極具殺傷力，危害堪比前兩代震網攻擊。

看到新聞我就嘀咕微軟這明擺著又要搞事情了，果不其然，周一一到單位上班來接到通知：

嚇得我趕緊下載一大堆離線補丁給內網伺服器打上壓壓驚。

沒過一個禮拜從NSA武器庫泄露出來的代碼又製成了Petya勒索病毒在歐洲爆發起來。

但是無論如何，做好數據備份是最重要的。作為個人數據備份，我在618期間選擇了特價促銷的鐵威馬F2-220 NAS存儲，並且通過TOS系統集成的備份功能，進行內部數據雙重備份。保證用戶數據每日自動備份，每個星期還有一次額外的備份。這樣一旦發現數據文件被病毒木馬加密勒索，也能通過上一天和上一星期的備份找回寶貴的資料。

?鐵威馬（TerraMaster）F2-220 intel雙核2.4G 2G內存 雙盤位NAS千兆網路存儲 雲存儲伺服器

1569元

勒索病毒來襲，預防是關鍵！鐵威馬保護您的數據安全（intel雙核2.4GHz CPU！2G DDR3內存！TOS3操作系統！支持RAID！） 京東去購買

跟同價位的群暉DS216j NAS相比，它擁有做工和硬體配置的優勢。鋁合金外殼，Intel ATOM J1800 x64處理器，2G DDR3內存；群暉DS216j 則是全塑料外殼，Marvell Armada 385 88F6820 ARM 32-bit 處理器，512 MB DDR3。

x64處理器和ARM處理器對比，配置在NAS中處於千兆優先網路環境下，比較文件拷貝速度上有性能優勢。一般x64處理器拷貝速度可以到達滿速112MiB/s，而ARM處理器的NAS在拷貝到70~80MiB/s的時候就會碰上CPU佔用率過高的性能瓶頸。

除了硬體優勢以外，一般大家都知道群暉DSM軟體非常方便使用，其實TOS軟體系統通過設置和第三方軟體靈活運用，完全可以實現自動化的用戶數據多重備份。具體如何實現，看我寫個教程。

初始化安裝TOS

通過在官網下載TNAS軟體可以自動發現並找到設定區域網內的鐵威馬NAS。

對硬碟進行檢查並且下載安裝TOS系統。

安裝完成後稍等片刻，等待NAS自動重啟。

鐵威馬NAS對於預防勒索病毒有「天然優勢」：基於Linux開發的TOS系統（windows系統的病毒無法運行）。

內置開源殺毒軟體ClamAV，

特別是新版系統中內置防火牆，默認關閉445等特殊容易被入侵的埠。另外支持陣列功能，可以將資料進行鏡像備份，相當於上一個雙保險！

相對於機械的RAID1鏡像，我更喜歡利用鐵威馬F2-220支持SMB、NFS、FTP文件傳輸協議，備份功能方面支持Rsync和蘋果時間膠囊備份，打造個性化的訂製自動備份功能。

設置共享文件夾許可權

首先創建文檔共享文件夾documents和備份用文件夾backup，

分別分配好文件夾存儲空間和讀寫許可權。

Backup文件夾只在NAS TOS內部計劃任務中自動備份中使用，所以不對網上鄰居和其他Windows主機暴露寫入許可權。

設置完成後共享文件夾如下圖所示：

對用戶數據批量備份

Mac端使用時間膠囊，Windows端使用FreeFileSync進行對用戶數據批量備份。

下載FreeFileSync地址

也可以直接使用Rsync for Windows進行同步

下載Rsync for Windwos地址

安裝FreeSync之後，選擇數據文件目錄，同時指定NAS上同步目錄。

按「+」按鈕可以添加數據文件目錄，一般選擇「我的文檔」、「我的圖片」、「我的音樂」、「我的視頻」、「我的收藏夾」、「桌面」這些文件夾，已經涵蓋了包括QQ聊天記錄在內的絕大部分用戶生成文件。點擊「比較」按鈕可以掃描整理出需要備份的文件清單。

同步按鈕旁邊的箭頭可以同步方式，我選擇單向同步，即從PC端同步到NAS端。

這樣就能把用戶數據從PC端備份到了NAS存儲上面，確認拷貝文件數據量，選擇忽略不存在的目錄之後，就是漫長的備份過程。

當然第一次是完整備份所以耗時較長，等第二次第三次同步就都是差量備份，就不會花費很長時間了。

為了加快備份速度，我們可以用排除功能剔除 *.msu，*.exe和*.iso等軟體安裝鏡像。

為了每次開機自動用戶數據文件備份，我們還需要將備份腳本保存為.batch批處理文件。

將文件名保存為【我的文檔FreeFileSync同步我的全部文檔.ffs_batch】

創建開機自動啟動備份批處理腳本

在運行，Windows 10搜索欄輸入

%USERPROFILE%AppDataRoamingMicrosoftWindowsStartMenuProgramsStartup

創建【cifs_backup.cms】腳本內容為：

這樣Windows每次開機用戶登錄就能自動備份用戶數據了。

設置NAS內部定期自動備份

設置TOS，給開啟Rsync Server同步。

然後設置2個Rsync客戶端的計劃任務：【每日備份】【每周備份】均對 documents文件夾進行每天增量備份。

完成上述設置，我的個人資料數據一共在鐵威馬F2-220上面保存了3個備份：documents，Backup每天/每周備份。這樣一來方能保證在這一段複雜的加密病毒爆發時期，保證個人數據安全，高枕無憂呀。

總結

目前來說，勒索病毒都是基於Windows SAMBA 1.0協議的漏洞進行入侵和傳播。選擇基於Linux開發的NAS存儲系統，基於Windows系統漏洞的勒索病毒無法運行。

記得打開NAS內置殺毒軟體，啟用NAS內部備份文件的功能和機制，同時備份目錄應該進行合理許可權設置，不要通過SAMBA協議或者NFS協議暴露在區域網中。

當然如果NAS系統支持磁碟RAID1陣列功能，也相當於可以將資料進行鏡像備份，如果能添置第二台NAS進行異地備份那就更完美了? ！不過這都是需要白花花的銀子支撐的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！