La mejor manera de resolver esto, es usar instantáneas de LVM, para crear una unidad "virtual", que luego se toma instantánea de manera incremental con intervalos regulares. Esta unidad virtual se "comparte" a través de Samba, iSCSI o una herramienta similar para cada computadora con Windows.
Por supuesto, cada cliente puede usar la misma unidad virtual.
SI un ransomware encripta los archivos en esta "unidad virtual", lo que hace que todos los archivos en el disco Samba / iSCSI compartido se encripten, simplemente elimine las imágenes de instantáneas (que son "diferentes" de una unidad) hasta que Los archivos son accesibles de nuevo.
Por supuesto, una buena idea es que el servidor esté protegido por un firewall, por lo que solo se puede acceder a él a través de sus puertos Samba / iSCSI a través de la red.
Cualquier acceso a la consola debe realizarse físicamente, en la consola local.
Ninguna otra solución es mejor, ya que si monta la unidad solo de forma simultánea, debe aplicar algún tipo de control de versiones en el lado del servidor; de lo contrario, sobrescribirá una copia de seguridad perfectamente buena con basura encriptada si un ransomware ataca.
Si usa rdiff, todavía debe asegurarse de que el control de versiones de diff se aplique en el lado del servidor y no en el del cliente, de lo contrario, el ransomware puede omitir esto y sobrescribir todos los diff.
La mejor manera de imponer el control de versiones en el servidor, es usar instantáneas de LVM y luego compartir una "unidad iSCSI plana" o un "recurso compartido de Samba" en la computadora cliente. La ventaja es que el malware no puede saber que la unidad en cuestión está versionada en el lado del servidor.
La única desventaja con una unidad versionada del lado del servidor, es que transfieres todos los datos a través del cable, incluso los que no han cambiado, pero eso no debería ser un problema, ya que transfieres regularmente en lugar de transferirlos todos a la vez.