从勒索软件的角度来看,无论之前是否安装过,附加的备份介质都可能被损坏。
我有一些 USB 闪存驱动器(以下简称“USBFD”或“USBFDs”),我每天都会对它们执行异地备份。从备份脚本完成写入 USBFD 到我从服务器拉出当天的 USBFD 之间,已经过了几个小时。理论上,勒索软件可以在mount/dev/中查找设备。当我umount通过脚本安装USBFD时,我是否也可以删除/dev/sdX设备,这样它就不能被再次安装并且内容被篡改?
umount在驱动器被编辑和拉出后,操作系统(ubuntu 服务器)中的某些内容会删除 /dev/sdX 设备。
USBFD 不在 /etc/fstab 中; UUID 位于脚本中,并且使用分区 UUID 将它们安装到安装点。
编辑:包括示例。在下面的示例结束时,USBFD 仍然存在于 /dev/disk/by-* 中,即使它尚未安装。我想删除设备关联 /dev/sdb 和 /dev/sdb1 ,就像驱动器已从服务器中拔出一样。
$USER@U16:~$ ls -l /dev/disk/by-* #list all devices
/dev/disk/by-id:
...
lrwxrwxrwx 1 root root 9 Jan 17 06:39 usb-General_USB_Flash_Disk_0425640000007474-0:0 -> ../../sdb
...
/dev/disk/by-label:
...
lrwxrwxrwx 1 root root 10 Jan 17 06:39 ESD-USB -> ../../sdb1
...
/dev/disk/by-path:
...
lrwxrwxrwx 1 root root 9 Jan 17 06:39 pci-0000:00:10.1-usb-0:2:1.0-scsi-0:0:0:0 -> ../../sdb
lrwxrwxrwx 1 root root 10 Jan 17 06:39 pci-0000:00:10.1-usb-0:2:1.0-scsi-0:0:0:0-part1 -> ../../sdb1
...
/dev/disk/by-uuid:
...
lrwxrwxrwx 1 root root 10 Jan 17 06:39 9A95-F490 -> ../../sdb1
...
$USER@U16:~$ sudo umount /media/$USER/ESD-USB #umount the device @ mounpoint
$USER@U16:~$ ls -l /dev/disk/by-* #USBFD still shows in output although it's not mounted.
/dev/disk/by-id:
...
lrwxrwxrwx 1 root root 9 Jan 17 06:39 usb-General_USB_Flash_Disk_0425640000007474-0:0 -> ../../sdb
lrwxrwxrwx 1 root root 10 Jan 17 06:39 usb-General_USB_Flash_Disk_0425640000007474-0:0-part1 -> ../../sdb1
...
/dev/disk/by-label:
...
lrwxrwxrwx 1 root root 10 Jan 17 06:39 ESD-USB -> ../../sdb1
...
/dev/disk/by-path:
...
lrwxrwxrwx 1 root root 9 Jan 17 06:39 pci-0000:00:10.1-usb-0:2:1.0-scsi-0:0:0:0 -> ../../sdb
lrwxrwxrwx 1 root root 10 Jan 17 06:39 pci-0000:00:10.1-usb-0:2:1.0-scsi-0:0:0:0-part1 -> ../../sdb1
...
/dev/disk/by-uuid:
...
lrwxrwxrwx 1 root root 10 Jan 17 06:39 9A95-F490 -> ../../sdb1
...