
NAS 有 RAID 都未夠安全:snapshot 點救返刪錯同 ransomware
RAID 管硬碟壞,snapshot 管錯版本;備份仲要另外計
RAID 救硬碟,唔救錯版本
XDA 作者 Jeff Butts 今次寫 TrueNAS 用後感,講自己以前以為 NAS 安全重點係 RAID,玩深入先發現 snapshot 先係日常救命嗰層。呢個 take 幾值得講,因為好多家用 NAS 同小公司 NAS 都有同一個錯覺:有兩隻碟、RAID 1 / RAIDZ,就當份相簿、設計稿、會計檔冇事。講真,硬碟壞只係其中一種麻煩,刪錯、sync 錯、ransomware 加密錯版本,先係平日最易中嘅位。
RAID 最大作用係 availability,即係硬碟死咗一隻,array 仲頂得住,唔使即刻停工搵 backup。佢救嘅係硬件失效同 downtime;但你喺 share 入面刪咗成個客戶 folder,或者 Photoshop / Lightroom catalog 俾 sync job 覆蓋咗,RAID 會好忠實咁保留呢個錯誤版本。你寫壞咗資料,佢就幫你寫壞得好整齊,所有碟一齊跟。

圖片:TrueNAS
Snapshot 其實係時間機器
Snapshot 解決嘅係時間問題。OpenZFS 官方文件講,ZFS snapshot 係 dataset 某個時間點嘅一致狀態,建立 snapshot 可以一次過完成;TrueNAS 官方文件亦寫明 snapshot 可以 clone 成新 dataset,或者 rollback 到嗰個時間點。不過 TrueNAS 自己都提醒 rollback 係危險操作,會影響 replication 排序,所以救一兩個 folder 時,clone 出嚟畀人自己拎返檔,通常穩陣過成個 dataset 倒返轉頭。
呢層對家用 NAS 同小公司特別貼地。相簿整理到一半刪錯年份、設計稿俾同事覆蓋、會計 Excel sync 咗壞版本、Docker app 更新後 config 爛咗,呢啲都唔係硬碟故障。你要嘅唔係 array 繼續著燈,而係搵返出事前 10 分鐘、1 小時、1 日嗰個狀態。snapshot schedule 設得啱,復原就由「搵 backup 搵到天光」變成「揀時間點拎返檔」。

圖片:TrueNAS
Snapshot 仍然要配 backup
重點係 snapshot 多數留喺同一個 pool。部 NAS 俾人偷、火牛爆到成部機死、pool metadata 出大事、又或者 admin account 俾人攞咗去刪 snapshot,本機 snapshot 未必幫到你。NIST SP 800-209 都提過 ransomware 已經會針對 NAS 同 backup appliances;NCCoE 文件提嘅 3-2-1 原則,亦係三份資料、兩種媒體、一份離場。換句話講,snapshot 係第一時間返到未出事前,backup 係成個地方出事都仲有得拎返。
講 ransomware 呢度最易出事。Snapshot 可以幫你搵返加密前嗰個版本,QNAP 自己嘅 ransomware snapshot 文件都係咁講,Synology Snapshot Replication 亦主打 point-in-time copies 同 off-site replication。但如果攻擊者已經拎到管理權限,或者先偷走客戶資料再加密,snapshot 只係救 availability,救唔到 confidentiality。QNAP 另一份文件都明講,double extortion 下 snapshot 可以救資料可用性,但救唔返已外洩嘅秘密。
Synology / QNAP 用戶都要諗
所以呢件事唔止 TrueNAS 用戶要理。Synology 用 Btrfs snapshot,QNAP 有 block-based snapshot,TrueNAS 就用 ZFS,底層唔同,但家用相簿、公司設計檔、會計 Excel、客戶合約,遇到嘅風險相近:人手刪錯、同步工具亂推、app update 寫壞 database、ransomware 喺電腦端加密咗 mapped drive。NAS 廠商成日講幾多 bays、幾快 2.5GbE / 10GbE,但實際要問三件事:你可以返到幾耐之前?返得快唔快?返唔到時有冇第二份?
實做可以咁拆:重要文件 dataset 起碼排 hourly snapshot 留一兩日、daily snapshot 留幾星期;相簿同影片改動少,可以 daily / weekly 留耐啲;apps 同 Docker config 改之前手動影一張 snapshot。跟住再做 replication 去另一部 NAS、USB 碟定雲端 object storage,最好用獨立帳號同只寫入權限,定期試 restore。唔好以為 Google Drive / OneDrive real-time sync 就等於 backup,因為加密咗嘅檔案一樣可以同步過去。
下一步睇 schedule
Jeff Butts 呢篇原文吸引,原因係佢講中咗 NAS 新手最易誤會嗰件事:買多幾隻碟,只係買咗硬件失效時嘅喘息空間;設好 snapshot retention,同埋有一份離場 backup,先會令你喺刪錯、改壞、俾加密嗰日有路行。買 NAS 或者幫公司執 storage policy 嗰啲人,下一步要睇嘅唔係 RAID menu,而係 snapshot schedule、replication 目的地、restore 測試有冇真係跑過。
參考來源
- XDA Developers — I thought RAID was the important part of my NAS, but TrueNAS taught me snapshots matter more — original report
- Managing Snapshots | TrueNAS Documentation Hub — 核對 TrueNAS snapshot clone、rollback、瀏覽 snapshot 同 rollback 風險。
- zfs-snapshot.8 — OpenZFS documentation — 核對 ZFS snapshot 係 dataset 某個時間點嘅一致狀態,同 atomic snapshot 概念。
- SP 800-209, Security Guidelines for Storage Infrastructure | NIST CSRC — 補充 ransomware 會針對 NAS、backup appliances 同 storage infrastructure 嘅風險背景。
- Protecting Data from Ransomware and Other Data Loss Events | NCCoE — 核對 3-2-1 backup 原則:三份資料、兩種媒體、一份離場。
- Snapshot Replication | Synology — 核對 Synology Btrfs snapshot、point-in-time copies、replication 同 immutable snapshots 脈絡。
- How data is protected by snapshots and resists ransomware | QNAP — 補充 QNAP 對 snapshot、ransomware、3-2-1 同 double extortion 限制嘅官方講法。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







