有了備份，就不怕勒索病毒嗎？

“

5月中旬，WannaCry比特币勒索病毒

利用Windows安全漏洞，襲擊全球。

提到了如何預防以及資料備份的重要性。

然而有了備份就能萬無一失嗎？

”

為預防病毒而備份

卻破壞了系統為哪般？

就在病毒發作的那幾天，有一位網管朋友給我打電話講了他的遭遇。

這位朋友機關有一台Windows伺服器系統盤做的RAID1，上面的作業系統和應用沒有備份，擔心被病毒加密檔案，于是用某大廠的系統備份/恢複軟體進行了操作。具體來說是用CD光牒/U盤引導的方式，像Ghost那樣将C槽中的資料先備份到後面的分區中（我了解事後還要拷出來），而在這個操作完成之後伺服器作業系統起不來了…

圖檔截自虛拟機中的實驗環境，用于輔助說明

事後朋友發現，原來他的伺服器是用Windows系統做的軟RAID1，BIOS裡的RAID選項并沒有打開（其實這也是一種軟RAID，稍後再談）。如上圖所示，在Windows中對D分區的通路都是在鏡像卷上操作，而在進入OS之前呢？像一些第三方引導盤有可能不會加載動态磁盤上的鏡像卷，而直接對單盤進行了操作。經過資料恢複處理之後，朋友發現C槽的備份鏡像隻被寫入了其中一塊磁盤，軟RAID破壞也就在所難免了。

再打個比方，如果Linux使用者在實體磁盤sd*上建立了LVM Mirror，這時如果再對底層的sd*進行寫操作也是同樣的道理。

盡管有些作業系統支援不隻一種帶有容錯功能的軟RAID，但實際使用的人并不多，除了性能和故障之後的恢複難度之外，還有一個問題就是防呆。

所謂的“軟”RAID

到底軟在哪裡？

不依賴作業系統的軟RAID，如果擴大點範圍來看也有好幾種。

第一種是主機闆內建的RAID，無第三方控制晶片，依靠BIOS裡加載的Firmware來配置。都是軟RAID也有差別，比如Intel RST就是要在Windows驅動加載後才能進行Rebuild。

由于現在主機闆晶片組提供的SATA接口越來越多，第三方晶片生存空間不大。比較進階一些的是SAS控制器/HBA、入門級RAID卡提供的軟RAID功能，比如基于LSI 2308、3008這些晶片或者Dell PERC H3xx這樣的RAID卡。将它們稱之為軟RAID是因為不像傳統SAS“硬”RAID卡（如使用LSI 2108、3108晶片或者Dell H7xx/8xx系列等）那樣具備本地緩存和掉電保護設計。通常來說這類軟RAID 5的性能不會好，但其保護機制基本在卡上實作，對各種作業系統不透明也就不會出現上面遇到的那種問題。

上面介紹了2類軟RAID，早年還曾有更麻煩一些的。比如HighPoint有的ATA控制器在Linux中内嵌非RAID驅動，會把RAID直接認成單盤，這樣加載驅動的難度就會加大。還有Adaptec在Ultra320 SCSI時代引入的HostRAID，也是能用非RAID SCSI驅動認成單盤。這些連防呆都不夠好的軟RAID，我遇到有些使用者不願接受。

Windows備份媒體伺服器

存在的潛在風險

以上讨論的主要是“隔離性”。RAID是一種實體保護，而作為資料保護的備份技術還要考慮邏輯上的隔離，一個基本原則就是惡意軟體或者使用者誤删除等操作都不應影響到備份資料的完整性。然而并不是每一個備份部署中都做到了這點。

注：以下讨論并不針對具體哪家備份産品，我也不确定此次的病毒一定會破壞網絡共享檔案路徑。但從“讀取檔案-加密後儲存-再删除原檔案”的機制來看，并不需要感染備份目标上的可執行檔案并運作，此類程式就可造成破壞。

首先，實體錄音帶和VTL（虛拟錄音帶庫）裝置通常不在惡意軟體攻擊之列，因為它們不支援傳統檔案操作，需要用特定指令/備份軟體來讀寫。

我還與做備份的朋友交流過，對于傳統的LAN備份，Windows用戶端通過網絡将資料發送到備份伺服器，這個過程一般是安全的。如果備份伺服器也部署在Windows系統上，一旦磁盤備份媒體以OS可識别的檔案格式挂載上來，還是存在被惡意破壞的可能。以本次的勒索病毒為例，Windows備份媒體伺服器在有些情況下也要注意安全。

上圖左上角部分描述的是備份NAS上的資料到錄音帶，目前也有一部分中小企業使用者選擇NAS裝置做為備份目标。對于這種方式，無論CIFS檔案共享直連Windows用戶端還是備份伺服器（其實都是媒體伺服器了），都有可能存在風險隐患。而如果采用DD Boost、OST、RDA這些帶有源端去重的專用備份協定，或者将備份空間格式化為專用檔案系統的會更安全一些。

比如我見過一種取巧的LAN-Free備份支援說法，将FC接口磁盤陣列挂給應用伺服器的LUN格式化為檔案系統，并做為備份目标。這樣做雖然沒有用錄音帶類裝置，但資料流确實走光纖了。此時如果是Windows檔案系統，備份資料顯然也難逃惡意破壞的可能。

雖然從上面的例子中側面反映出傳統錄音帶備份的安全性，而我們也不能忽略錄音帶媒體管理上的複雜度和高維護成本。LAN-Based磁盤備份的Client-Server架構看來也有安全性方面的可取之處，不過在雲計算的時代一些廠商提倡無代理備份，甚至（站在自己角度上）說備份代理也可能成為被攻擊的對象。在内網裡相對還好，接入公網需要考慮的安全問題确實更多，當然這些讨論有點超出本次勒索病毒的範疇了。