По мотивам сбоя СДЭК

esxi
Только esxi консоль на сервере доступна.
Заходить в гостевые ОС через vsphere ?
Те же яйца, профиль сбоку.
Тогда уж нужно изолированный комп, и только с него доступ к vsphere и критичным гостевым ОС.

Вы про vmware player/workstation или про esxi ?
Что то я не припомню в esxi драйверов видеокарты, чтобы гостевая windows могла свои картинки нарисовать на мониторе сервера.
Да и сервера зачастую живут в арендуемом ДЦ, который находится хрен пойми где.
Решение - отдельный компьютер (выступающий консолью для доступа к критически важным серверам через что хотите), не имеющий выхода в интернет.
Тогда инфраструктурой backup никто не сможет управлять извне.

Надеюсь, СДЭК оценит твой пост!

Делайте бэкап с реплики базы )) И бухгалтерия будет довольна ) хотя тут уже про проды уже большего размера, а не бухгалтерию. Ну и снапшоты рулят, как по размеру, так и по скорости.
А вообще тут правильно всё описано - сегментирование должно быть сети. Разграничение доступов и не пихать в домен, то что в домене быть не должно.
Но у СДЭК было явно всё не так.

Это сообщение отредактировал Swenum - 30.05.2024 - 10:13

Неистово плюсую!
Всё что я вижу и о чём читаю, ВСЁ указывает именно на это!

И я уверен, во всем мире так!
Кроме, разве что, вояк.

Вменяемый ответ: НИКАК!

Абстрактно разумных варианта 2:
1. Перевести всё на ZFS. Ну вы поняли!
2. Создание инкрементных бэкапов сразу после подключения к локалке.
Сразу после загрузки ядра ОС и до загрузки ГУИ.

Вернее, есть и 2 условно разумных варианта, но ваша контора не потянет ни один.
Древний: загрузка рабочего места по PXE.
Современный: терминальная работа в виртуальной машине на сервере.

Пиратский антивирь/фаер - это 5 ящитаю. Даже 5++

Через теневое копирование. Пишется скрипт и данные спокойно утаскиваются в фоновом режиме.

Из опыта скажу так:
С шифровальщиками по сути есть одни 100% вариант, но сука дорого...
СТРИМЕР !
Остальное от лукавого.

нее, просто процесс записи бэкапа должен заканчиваться umount`ом, вот и всё

но это уже паранойя - если все остальные машинки не видят в сети инициатора бэкапов и тем более хранилища, то и заразить его не смогут.

Ну у нас атака была именно такая, что добрались много до чего и по сути нас спасло бы использование стримера. Опять же шифровальщик был только вершиной айсберга
ЗЫ минусят то за что ? Стример - это железка такая, а не дурачек вещающий со экрана

Supported Linux Distributions
The following Linux distributions are tested and certified for use in SAP environments. See also SAP note 2369910.

Oracle

Oracle Linux 8 for x86_64
Oracle Linux 7 for x86_64
Oracle Linux 6 for x86_64
Oracle Linux 5 for x86_64 (out of maintenance)

Red Hat

Red Hat Enterprise Linux 9 for x86_64, IBM Power Systems, and IBM Z
Red Hat Enterprise Linux 8 for x86_64, IBM Power Systems, and IBM Z
Red Hat Enterprise Linux 7 for x86_64, IBM Power Systems, and IBM Z
Red Hat Enterprise Linux 6 for x86, x86_64, IPF, IBM Power Systems, and IBM Z
Red Hat Enterprise Linux 5 for x86, x86_64, IPF, IBM Power Systems, and IBM Z (out of maintenance)
Red Hat Enterprise Linux 4 for x86, x86_64, IPF and IBM Power Systems (out of maintenance)
Red Hat Enterprise Linux 3 for x86 and IPF (out of maintenance)
Red Hat Enterprise Linux 2.1 for x86 (out of maintenance)
Red Hat Linux 7.1 Professional (out of maintenance)
Red Hat Linux 6.2 (out of maintenance)
Red Hat Linux 6.1 Enterprise Version 1.0 (out of maintenance)

SUSE

SUSE Linux Enterprise Server 15 for x86_64, IBM Power Systems, and IBM Z
SUSE Linux Enterprise Server 12 for x86_64, IBM Power Systems, and IBM Z
SUSE Linux Enterprise Server 11 for x86_64, IPF, IBM Power Systems, and IBM Z
SUSE Linux Enterprise Server 10 for x86, x86_64, IPF, IBM Power Systems, and IBM Z (out of maintenance)
SUSE Linux Enterprise Server 9 for x86, x86_64, IPF, IBM Power Systems, and IBM Z (out of maintenance)
SUSE Linux Enterprise Server 8 for x86, IPF and IBM Z (out of maintenance)
SUSE Linux Enterprise Server 7 for IA32 and IBM Z (out of maintenance)
SUSE Linux Enterprise Server for IA32 (out of maintenance)