Zálohování bez ohrožení staré zálohy

Zálohování bez ohrožení staré zálohy
« kdy: 25. 03. 2015, 00:30:32 »
(Toto téma není nijak omezené na Linux.)

Jak bezpečně zálohovat? Jde mi o to, že málokdy mám jistotu, že zálohovaný systém není zrovna napaden malware. Jak při zálohování neohrozit staré existující zálohy?

2. Tak je fakt, ze zalohuju jenom velmi nahodile, ale pocitam s tim, ze to nejdulezitejsi budu zalohovat na externak.
Mám jistý lehký odpor k zálohovaní na externí disky. Jednak nikde není zaručeno, že tu zálohu ještě někdy přečteš :-) a také, takové zálohy jsou "nahodilé" a nikdy ne pravidelné.

Osobně pro zálohy jako ZÁLOHY, používám synchonizační cloudové systémy. Kde jsou zálohy dělány automaticky ihned průběžně.

Obě řešení v quote mi připadají špatná:
- při zálohování na externí disk může malware napadnout kteroukoli existující zálohu na tomto disku
- synchronizace není zálohování


A)
Osobně tento problém řeším poměrně primitivním způsobem:
Zálohuji do počítače v síti, který je určen pouze na zálohy, a sdílí jeden adresář.
Zálohy ze sdíleného adresáře manuálně přesouvám (v dostatečné frekvenci) do nesdílených adresářů. (a proto bohužel musím k "počítači se zálohami" fyzicky chodit )

B)
Dalším řešením by bylo zálohování na lokální prázdná média, tedy na média, které neobsahují žádné staré zálohy. Ale to je prakticky ještě méně pohodlné než odstavec výše.

C)
Existuje nějaké jiné řešení? Představuji si např. cloud, by rozlišoval
- "standardní obsah" (zde by byly staré zálohy)
- "přírůstek" (sem by se nakopírovaly nové zálohy, a cloud by pak přírůstek automaticky přemístil do standardního obsahu)
hesla pro přístup k "standardnímu obsahu" a k "přírůstku" by byla různá; případný malware by se tak při zálohování vůbec nedostal ke starým zálohám.

A+C)
Nebo by na výše uvedeném principu mohl pracovat software na mém "počítači se zálohami" ...
:) no jo vlastně, to si můžu udělat i sám - nějaký scheduler mi může přesouvat soubory ze sdíleného adresáře.
« Poslední změna: 25. 03. 2015, 07:59:12 od Petr Krčmář »
Filip Jirsák: "Úplně stejně se ale jedná o podvod, když uživatel zamlčí provozovateli webu, že blokuje reklamu."


Sten

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #1 kdy: 25. 03. 2015, 01:34:19 »
Používám něco jako A+C, kde aktivní zálohovací adresář je to jediné, kam zálohovaný počítač může přes rsync (nic jiného používat nemůže), a ten se každý den snapshotuje (btrfs) do jiného adresáře, kam už zálohovaný počítač nemůže.

sfasdfasdf

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #2 kdy: 25. 03. 2015, 02:01:24 »
Davno som zalohoval na read-only media. To ma vyhodu, ze sa to neda zmazat ani omylom; pri dnesnych mediach sa nezvladaju vacsie data. Trochu sa tomu blizi B.

Okrem toho som chvilu pouzival zalohovaci disk s deduplikaciou, ktory som pred kazdym zalohovanim snapshotoval. Zaloha bola rsync. Snapshoty bezne neboli dostupne a vydrzali par rokov, lebo sa ich na disk vliezlo vela - zmeny pomerne velkych dat boli iba v desiatkach MB / den.

Jenda

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #3 kdy: 25. 03. 2015, 02:18:57 »
Zálohující stroj spustí rsync a obsah zálohovaného si jím stáhne. A udělá se snapshot (btrfs). Velikost snapshotu je dobré kontrolovat, pokud je moc velký nebo moc souborů zmizelo, může to znamenat, že v síti řádí cryptolocker.

Pavels

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #4 kdy: 25. 03. 2015, 07:34:11 »
Doma zalohuji Baculou, vysledek zalohy je jeden soubor (pripadne vic) a-la tar. Jelikoz je kazda zaloha izolovana ve svem souboru, nijak neohrozuje existenci ostatnich zaloh. Muzu ji kopirovat jinam, na vice disku, na flashku, na pasky, odnest jinam a kdykoliv opetovne rozbalit.


JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zálohování bez ohrožení staré zálohy
« Odpověď #5 kdy: 25. 03. 2015, 09:04:29 »
A)
Osobně tento problém řeším poměrně primitivním způsobem:
Zálohuji do počítače v síti, který je určen pouze na zálohy, a sdílí jeden adresář.
Zálohy ze sdíleného adresáře manuálně přesouvám (v dostatečné frekvenci) do nesdílených adresářů. (a proto bohužel musím k "počítači se zálohami" fyzicky chodit )

A co to mate za stroj, ze tam nejde udelat automaticka uloha presunu hotovych zaloh jinam? To jde i na Widlich. Muzete si treba udelat zalohu a pak tam po ni nekam hodit soubor specielniho jmena a mozna i obsahu, ktery rekne nejake uloze v cronu, ze zaloha je hotova a muze se presunout.

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #6 kdy: 26. 03. 2015, 16:24:05 »
Nikdo nezmínil žádnou cloudovou službu. Opravdu tyto služby ochranu starých dat neřeší?



Doma zalohuji Baculou, vysledek zalohy je jeden soubor (pripadne vic) a-la tar. Jelikoz je kazda zaloha izolovana ve svem souboru, nijak neohrozuje existenci ostatnich zaloh.

Nerozumím, jak může fakt, že výsledkem zálohy je jeden soubor, zaručit bezpečí starých záloh.
Jakmile je stará záloha během zálohování v systému dosažitelná, je ohrožená.
Filip Jirsák: "Úplně stejně se ale jedná o podvod, když uživatel zamlčí provozovateli webu, že blokuje reklamu."

karel

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #7 kdy: 26. 03. 2015, 17:36:52 »
Používám něco jako A+C, kde aktivní zálohovací adresář je to jediné, kam zálohovaný počítač může přes rsync (nic jiného používat nemůže), a ten se každý den snapshotuje (btrfs) do jiného adresáře, kam už zálohovaný počítač nemůže.

Zkousel si nekdy obnovu na jiny stroj ?
Kdyz sem s btrfs experimentoval naposled tak prenest snapshot na jiny stroj mu trvalo ukrutne dlouho radove dyl nez by trvalo samotne kopirovani cistych dat, neco tam furt chroustal a pocital pres sit slo relativne malo dat.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #8 kdy: 26. 03. 2015, 17:52:06 »
Nerozumím, jak může fakt, že výsledkem zálohy je jeden soubor, zaručit bezpečí starých záloh.
Jakmile je stará záloha během zálohování v systému dosažitelná, je ohrožená.

Tak co takle na tu starou zalohu nastavit immutable flag? Je pravdepodobne, ze tohle zadny virus nema osetrene a pokud se bude zalohovat na vzdaleny stroj, tak stejne nebude mit prava, aby ten flag shodil. V tom pripade by ale stacila i zmena pristupovych prav - prijde na to, pres co se tam clovek pripojuje a pod jakym uzivatelem.

njn

Re:Zálohování bez ohrožení staré zálohy
« Odpověď #9 kdy: 26. 03. 2015, 19:20:00 »
pro masochisty s plackami tu vzdy existovalo
nero backup + bluj ray

njn

Re:Zálohování bez ohrožení staré zálohy
« Odpověď #10 kdy: 26. 03. 2015, 19:21:57 »
immutable neresi situaci, kdy bude tazatel zalohovat pri bouri v magnetosfere (naposledy, kdyz byla polarni zare viditelna pred 10ti lety v cesku) a v dusledku problemu v rozvodne siti mu shori disk se zalohami.

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Zálohování bez ohrožení staré zálohy
« Odpověď #11 kdy: 26. 03. 2015, 19:27:08 »
Jiste, nelze vzdy vsechna rizika uplne vyloucit. Napriklad pad Boeingu na budovu se zalohou, solarni boure toho druhu, kdy kusy Slunce doprsknou az na povrch Zeme, pad nekolikametroveho meteoru.... Otazka je, jestli by v takovem pripade mel tazatel o data starost. A pak, nekde se musi nastavit hranice toho, jak moc se s tim budu srat. Clovek by take mohl cyklovat nekolik externich disku a kazdy den s tim bezet do trezoru v bance.

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #12 kdy: 26. 03. 2015, 19:36:04 »
Tak co takle na tu starou zalohu nastavit immutable flag? Je pravdepodobne, ze tohle zadny virus nema osetrene

Spoléhat na to, že všichni tvůrci virů se vyhnou určité technice ... no to bych rovnou mohl spoléhat na to, že žádný virus nechytím.
Takhle uvažovat určitě nechci.

... a pokud se bude zalohovat na vzdaleny stroj, tak stejne nebude mit prava, aby ten flag shodil. V tom pripade by ale stacila i zmena pristupovych prav - prijde na to, pres co se tam clovek pripojuje a pod jakym uzivatelem.

Podle mě změnu flagů má smysl provádět jenom lokálně na stroji určeném na zálohování. Nemá smysl nastavovat flagy z počítače, o kterém předpokládám, že může být nakažen.
No a když už někdo (operátor nebo soft) bude na stroji určeném na zálohování nastavovat flagy, tak to už rovnou může soubory přesunout nebo aspoň snapshotovat.

A přesunutí souborů do nesdílených adresářů mi přijde mnohem bezpečnější než nastavení flagů - ať už z hlediska případné kritické chyby OS (tipuju, že taková chyba spíš umožní změnu flagů než nasdílení nesdílené složky), nebo chyby operátora.
A co se týká bezpečnosti pro přesun souborů vs snapshot, taky bych tipnul, že přesun bude jistější než snapshot.

immutable neresi situaci, kdy bude tazatel zalohovat pri bouri v magnetosfere (naposledy, kdyz byla polarni zare viditelna pred 10ti lety v cesku) a v dusledku problemu v rozvodne siti mu shori disk se zalohami.

Zakopaný pes pak asi nebude v technice "immutable".
Disky se starými zálohami by se určitě ze stroje určeného na zálohování měly vyjímat. Otázka je jak často, a jestli stačí je odnášet do sklepa nebo je třeba vozit na jiný světadíl.

Mimochodem, právě proto bych rád nejdůležitější data dával do cloudu ... ale právě proto se ptám jestli obdobná technika existuje i pro nějakou cloudovou službu
Filip Jirsák: "Úplně stejně se ale jedná o podvod, když uživatel zamlčí provozovateli webu, že blokuje reklamu."

JardaP .

  • *****
  • 11 064
    • Zobrazit profil
    • E-mail
Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #13 kdy: 26. 03. 2015, 20:00:06 »
Tak co takle na tu starou zalohu nastavit immutable flag? Je pravdepodobne, ze tohle zadny virus nema osetrene

Spoléhat na to, že všichni tvůrci virů se vyhnou určité technice ... no to bych rovnou mohl spoléhat na to, že žádný virus nechytím.
Takhle uvažovat určitě nechci.

Jiste, na 100 % to neni, ale je znacna pravdepodobnost, ze viry nebudou mit implementovane ficury OS s tak malym zastoupenim na trhu, jako Linux. Krome toho immutable muze astavit a zrusit tusim jenom root a virus by nejspise bezel s pravy uzivatele, protoze probourat browser je mnohem jednodussi, nez probourat zabezpeceni OS.

Citace
... a pokud se bude zalohovat na vzdaleny stroj, tak stejne nebude mit prava, aby ten flag shodil. V tom pripade by ale stacila i zmena pristupovych prav - prijde na to, pres co se tam clovek pripojuje a pod jakym uzivatelem.

Podle mě změnu flagů má smysl provádět jenom lokálně na stroji určeném na zálohování. Nemá smysl nastavovat flagy z počítače, o kterém předpokládám, že může být nakažen.

Ja nerikam, ze to mate delat z nakazeneho pocitace. To muze na vzdalenem udelat cronjob.

Citace
No a když už někdo (operátor nebo soft) bude na stroji určeném na zálohování nastavovat flagy, tak to už rovnou může soubory přesunout nebo aspoň snapshotovat.

Jiste. Pokud vam nevadi, ze nebudou videt na dalku. Muzete je samozrejme presunout do ro sdileni.

Nejlepsi ale stejne asi je iniciovat zalohu ze vzdaleneho stroje a ne ze stroje zalohovaneho. To vam pak nejake viry muzou byt ukradene. Budete sice treba zalohovat poskozena data, ale na stare zalohy se virus nedostane, protoze je nebude nikde videt.

Sten

Re:Jak při zálohování neohrozit staré existující zálohy?
« Odpověď #14 kdy: 27. 03. 2015, 15:43:27 »
Používám něco jako A+C, kde aktivní zálohovací adresář je to jediné, kam zálohovaný počítač může přes rsync (nic jiného používat nemůže), a ten se každý den snapshotuje (btrfs) do jiného adresáře, kam už zálohovaný počítač nemůže.

Zkousel si nekdy obnovu na jiny stroj ?
Kdyz sem s btrfs experimentoval naposled tak prenest snapshot na jiny stroj mu trvalo ukrutne dlouho radove dyl nez by trvalo samotne kopirovani cistych dat, neco tam furt chroustal a pocital pres sit slo relativne malo dat.

Tak výrazný rozdíl jsem nezažil (bylo zálohovací médium v pořádku? měl zálohovací stroj dost paměti?), ale obnovení je o trochu pomalejší, to je holt cena za COW (či každý inkrementální) snapshot. Na druhou stranu, jak často ale potřebujete tu obnovu dělat?