ActiveImage Protector Linux の保存先隔離機能について

ActiveImage Protector Linux(以降一部 AIP と略す)には、ランサムウェアの対策として保存先隔離機能が実装されており、3種類の設定方法があります。
この記事では、AlmaLinux 8.5 + AIP2022 linux バージョン 6.5.1.7719を使用し、これらの機能の動作仕様と注意点について簡単に説明します。基本的には各機能とその動作仕様はAIPのWindows版と同じです。

スケジュール作成時の保存先の指定画面で、保存先隔離オプションの有効化が可能です。
1)バックアップ後に 保存先のローカルHDDのマウントを解除する
2)バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
3)バックアップ後に 指定したネットワークを無効にする

動作仕様の概要は、AIPがバックアップを実行する時間のみ、保存先の使用を有効にして、保存先へバックアップを実施します(“2)”を除く)。そのため、取り扱いには十分にご注意頂きご利用下さい。

1)バックアップ後に 保存先のローカルHDDのマウントを解除する
このオプションは、タスク実行後、保存先HDDのマウントポイントを自動で解除(削除)します。

例では、”mount /dev/sdb1 /data1” コマンドで保存先をマウントしています。
はじめのdfがタスク実行前、あとのdfがタスク実行後です。/dev/sdb1のマウント解除が確認出来ます。

スケジュールにより次のタスクが動作するとき、自動的に、そのタスクの保存先と同じマウントポイントを作成し、タスクを実行します。処理が終わったらマウントポイントを解除します。この処理の繰り返しによって、タスク動作時以外に、対象のマウントポイント内のデータ改竄を抑制します。

注意点:
・何らかの理由により、ディスクへの排他アクセスなどで、マウントポイントが解除されない場合は、mountコマンドでマウントおよびアンマウントが可能かどうかをご確認ください。

・この機能は、/etc/fstabに予め保存先のマウントポイントを設計していない場合も動作しますが、設計している場合はmountコマンドにより保存先へマウントし、アクセスは可能です。

・このオプションは、保存先USB HDDに対して無効です。

2)バックアップ後に 保存先 のリムーバブル USB HDD を取り外す
このオプションは、タスク実行後、保存先フォルダーが存在するハードディスクに対して、OS上から安全な取り外しを行います。

基本動作は1)と同じで、結果も1)の機能と同じように見えますが、このオプションは、Windows版の同オプションと同じく、OS上からUSBの接続自体を安全に解除しています。そのため、手動でUSBの再接続を行う必要があります。

以降は、タスク実行前にお客様側でUSBを再接続し、バックアップ、と言った運用方法になります。

注意点:
・自身でマウントポイントを作成している場合(例では /data2 )、USBを再接続時、OS側で自動マウントすることがあります。

具体的には、OSの仕様によって、USB保存先のマウントポイントが /run/media/root/ に変更されます。

AIPのパスは/data2に設定しており、この保存先を追従しないため、mountコマンドでマウントポイントを更新する必要があります。解決策の1つの手段として、/etc/fstabに、マウントポイントを記載しておき、タスク完了後、次のタスク開始するまでにUSBを接続します。この場合は自動マウントしないので、” mount -a “のコマンドでマウントポイントを更新し、適切な保存先へ参照可能になります。

/etc/fstabの例)
/dev/sdc1 /data2 defaults 0 0

*OSとUSBデバイスの接続状況により解決策が変わるかもしれません。例えばautofsが有効になっていた場合は無効にする必要があるなど。その場合、AIPを観点とした調査では無くなるため、環境に応じて対策して下さい。この機能はすべてを自動化することが出来ないため、トラブルシュートが起きた場合でも環境に応じた解決ができるかどうかを判断してご利用下さい。

・保存先にサブフォルダーが無い(今回の例のように保存先がローカルに存在する)場合、USBの再接続および適切なマウントポイントがOS上で認識されないまま次のタスクが動作すると、次のタスクからはローカルの/data2にバックアップ処理を実行してしまいます。結果、保存先に余裕があれば作成は完了し、保存先として想定していないマウントポイント(ここではルート)が逼迫する可能性があります。

解決策として、保存先のUSBにサブフォルダー /data2/backup のようにしてタスクを作成します。こうすることで、タスク開始までに保存先USBの接続を忘れた場合でも、/data2は存在しても/data2/backupは存在しないので、AIPは保存先のパスが見つからないエラー(-403 path not found)を発生し、処理を終了します。

尚、エラー発生後のタスクが増分タスクの場合、フル(と増分)が保存先に存在すれば、AIPの仕様に基づき、フルを仕切り直さず、増分を作成することが出来ます。

3)バックアップ後に 指定したネットワークを無効にする
このオプションは、タスク実行後、保存先として使用しているネットワークデバイスを無効にします。
下記のens192を使用例とします。

このデバイスを指定しタスクを作成します。

作成したタスク動作のバックアップ完了後、指定したネットワークが無効になります。

この状態から、スケジュールにより次のタスクが動作するとき、自動的にネットワークを有効にしてからタスク処理を行います。タスクが完了したら、デバイスを無効にします。

手動で接続する場合linuxのコマンド(nmcli)で可能です。

注意点:
・このオプションで指定したネットワークデバイスは、タスク実行中以外は常に無効となります。メインのネットワークとして使用している場合、お取り扱いには十分にご注意ください。

・保存先をcifsや nfsのローカルマウントポイントで指定した場合、タスク実行後に保存先が存在しない事によってdfコマンドが応答しないなどが発生します。AIPのGUIからネットワークを参照(smbmount)の場合は基本的に影響ありません。

*ActiveImage Protector Windows版の保存先隔離機能については「ActiveImage Protectorの保存先隔離機能について」をご参照ください。

Support T.