Jak bezpečně skladujete data doma?

Jak bezpečně skladujete data doma?
« kdy: 31. 12. 2019, 10:07:53 »
Téma mírně na odlehčení: jakým způsobem bezpečně ukládáte, zálohujete a vedete data? Pochlubte se, rád se inspiruji.

Popíšu můj případ:
Telefon s Androidem, šifrovaný, krytý pinem a gestem. Lze vzdáleně vymazat.
Notebook č.1 (hračka) - obsahuje pouze prohlížeč Vivaldi a aplikaci Spotify, připojuje se k internetu pouze přes hotspot telefonu. Disk šifrován Truecryptem.
Notebook č.2 (hlavní) - obsahuje fotky, soukromá data. Má pravidelně aktulizovaný antivirus, disk šifrován Truecryptem. Převážně na domácí wifi, případně hotspot, veřejná wifi minimálně - nemůžu že říct že vůbec, ale výhýbám se tomu.

Oba notebooky jedou na windows.

Data zálohována na externí HDD 2 TB - obsahuje jednak důležitá data, jednak balast (instalačky, seriály, filmy, hudbu). Šifrováno TC.

V určité, nepravidelné periodě zálohuju citlivá data i na USB Flash, jedna šifrovaná, tu nosím běžně u sebe.

Druhý USB disk se stejnými daty je nešifrovaný, uložený na bezpečném místě společně s Rescue Disky a instalačkou Truecrypt - geograficky odlišné místo od notebooku a externího hdd, pro případ požáru apod.

Co vy? Jestli se to už někde rozebíralo, tak se mi nepodařilo najít dané vlákno...
Kritice se vůbec nebráním, ale prosím žádný flame :)


robin martinez

  • *****
  • 1 138
  • Have you hugged your toilet today?
    • Zobrazit profil
    • Null Storage
    • E-mail
Re:Jak bezpečně skladujete data doma?
« Odpověď #1 kdy: 31. 12. 2019, 10:32:53 »
nic nesifruju, moje data jsou trapny a nikoho nezajimaj.
One machine can do the work of fifty ordinary men. No machine can do the work of one extraordinary man.

I do Linux, Hardware and spaghetti code in PHP, Python and JavaScript

Re:Jak bezpečně skladujete data doma?
« Odpověď #2 kdy: 31. 12. 2019, 10:43:09 »
důležitý data mám v privátním klaudu, který využívá ZFS pole na šifrovaných discích.
telefon odemykám otiskem prstu, protože to je nejpohodlnější.
v laptopu používám luks mimo /boot oddílu, protože to vyžaduje firemní směrnice.
na domácích strojích to nijak neřeším.

AgentK

  • ***
  • 129
  • Evolve or die!
    • Zobrazit profil
    • E-mail
Re:Jak bezpečně skladujete data doma?
« Odpověď #3 kdy: 31. 12. 2019, 11:19:30 »
Data z nekolika PC/laptopu synchronizuju na NASko s RAIDem, zdrojaky jsou na githubu a mirror na bitbucketu.
Linuxi PC je sifrovany. Premyslel jsem o necem sofistikovanejsim, ale asi to neni potreba.

Dalsi vetsi domaci data nejsou moc zajimava, nejaka multimedia atd ktera pripadne muzu postradat (prestoze to bude asi trochu bolet), pokud NASko odejde.  NASko tedy spis pouzivam jako uloziste, nez backup.

-K-

Re:Jak bezpečně skladujete data doma?
« Odpověď #4 kdy: 31. 12. 2019, 15:35:47 »
Já mám haldu onelinerů a jednoduchých věcí, která mi dohromady ale docela pěkně funguje :-)

Situace
NAS, několik desktopů (laptopů) s Linuxem (moje, manželky, společné atd.), několik mobilů s Androidem.

NAS je NanoPi se SATA modulem a čtveřicí 8TB disků WD Red v RAID5 (dmraid), na tom Arch Linux a různé služby (syncthing, web, gitlab, různé media servery).

Desktopy mají přímo na disku LUKS, v něm je jeden btrfs oddíl, v něm jako subvolumes všechno ostatní. Jediná nešifrovaná část je Grub (efi loader), který je podepsán secure boot klíčem. Tj. defaultní instalace Manjara :-)

Mobily mají tovární Android šifrování, klíč to nějak odvozuje z pinu, za provozu se ale odemykají otiskem prstu s výjimkou mobilu dcery, která je ještě moc malá a tak odemyká tlačítkem.

Synchronizace
Na všech strojích běží Syncthing, který synchronizuje určité adresáře tak, aby byl udržen globální stav. Jde hlavně o fotky (když udělám fotku na mobilu a konektivita je dostačující, je během několika sekund zapsána na NAS), galerii (dáváme tam ty vytříděné fotky s metadaty, které chceme mít po ruce), hudbu, různé další misc adresáře. Máme jich hodně - něco společné, něco má každá osoba jen mezi svými stroji.

Zálohování
Stroje s Linuxem (včetně NASu) jedou všechny na btrfs. Každých 15 minut se spouští cronjob (nebo teda systemd.timer), který udělá btrfs snapshot uživatelských subvolumes (ne třeba rootfs, ten je většinou bez změn). Tím se chráníme před situacemi, kdy si třeba něco omylem smažeme. Jednou za 4 hodiny se spustí služba, která vezme poslední snapshot a snapshot starý 4 hodiny, vypočte mezi nimi deltu (btrfs send), a tu komprimovanou pomocí zstd umístí do k tomu určenému Syncthing adresáře. Od tama se to příležitostně samo odleje do NASu, kde to systemd.path trigger sebere a přesune do archivu (čímž se uvolní místo na zálohovaném počítači). Patnáctiminutové snapshoty promazává další timer - u mě je to nastaveno na 3 dny, drahá polovička si to tam drží snad měsíc.

Párkrát do roka nechám (zatím ručně) udělat plný btrfs send místo delty, aby tam těch delt nebylo moc. Rekonstrukce disku ze stovky na sebe navazujících delt totiž může trvat i den :-) Staré pak ručně promažu tak, aby byl rollback tak 3 měsíce.

Na Androidu je automatické zálohování na facku (pokud vše nesvěřím Googlu, což jak asi tušíte nechci). Spíš se k tomu chováme tak, že o to můžeme snadno přijít. Data chrání Syncthing - na NASu se to taky snapshotuje, takže kdybych si omylem něco smazal, nejspíš to půjde obnovit. Aplikace s nastavením nepravidelně (ručně) zálohujeme přes Titanium Backup (opět do Syncthing adresáře, takže to nateče na NAS).

TODO
Chybí mi geograficky oddělená záloha, další NAS u rodičů nebo někde, kam bych nechával replikovat data (opět jen přidáním node do Syncthing). Před selháním jednoho disku mě chrání raid, ale uvažuju o nějaké explicitnější variantě, dedikovaný disk nebo pole na "vlažnou" zálohu.


m1x

Re:Jak bezpečně skladujete data doma?
« Odpověď #5 kdy: 31. 12. 2019, 19:59:07 »
Doma? Předloni jsem si dal předsevzetí že až budu mít trochu času tak to dotáhnu do podobného stavu jako tazatel. No, zatím nic.

Tak aspoň fyzicky pod zámkem a síťově za zdí a pod heslem, sem tam i šifrované. Internetovým službám to nesvěřuju. Kromě sshd obvykle žádné další služby nemám zapnuté trvale. Ani wifi atd., už kvůli výdrži noťasu a mobilu.

Důležitá (malá) data zálohuji častěji a snažím se mít je na více zařízeních, kdekoliv to jde a nemít vše ve stejné budově. V době disket jsem se naučil že systematické zálohování nemusí stačit a že ztráta dat bolí, tak přidávám chaos a občas šoupnu archiv kamkoliv to zrovna jde bezpečně (starší hdd, fleška v kapse, sdkarta, DVD, ...) a kde může pár let ležet. Videa apod. pak občas na externí hdd, uložený v jiné budově.

Přemýšlím jak zajistit abych archiv dokázal zaručeně rozšifrovat když budu mít třeba jen jedno zachráněné médium a jinak nic a přitom aby to bylo nemožné když chtít nebudu. Jen heslo je mi málo.

Nejpodstatnějších pár hesel si pamatuju (protože často používám), na něco mám zapsané pomůcky co mi heslo připomenou a hesla k miliónu kdejakých registrací mám prostě na papíře.

m1x

Re:Jak bezpečně skladujete data doma?
« Odpověď #6 kdy: 31. 12. 2019, 20:25:08 »
... (nejde mi to editovat)

Mobil odemykám otiskem, ten totiž není obkoukatelný při zadávání, kamery a hlavně příliš zvědaví hloupí lidi jsou všude. Hlavně když odemykám mobil nebo někam píšu heslo tak se někdo moc snažil to obkoukat.

Jeden počítač nikdy nebyl připojený k internetu.

A podrobnosti zabezpečení neprozrazuju. Ani kde mám jaký počítač a kde jaký přístup.

Re:Jak bezpečně skladujete data doma?
« Odpověď #7 kdy: 02. 01. 2020, 17:30:31 »
Všechno mám ve vlastním NASu s Windows Server 2016 Standard a paralelně se to zálohuje do Crashplanu za 12$/měsíc

Re:Jak bezpečně skladujete data doma?
« Odpověď #8 kdy: 03. 01. 2020, 08:30:52 »
Zálohujem na domáci NAS s RAID1. Vybrané adresáre /homes zálohujem do Amazon Glacier. Za asi 250 GB stored platím pod $1/mes.

Re:Jak bezpečně skladujete data doma?
« Odpověď #9 kdy: 23. 01. 2020, 04:07:37 »
ZALOHOVANI:

Zalohuji na externi disk prakticky vsechna data, o ktera nechci prijit. Nektera data (vysledky velkych vypoctu) jsou tak obemna, ze nezalohuji a v pripade nutnosti znova zpustim vypocet. Programy mam zalohovane velmi dobre, kdyz uz se s tim clovek pise. Pro zalohovani na localu je prikaz:

Kód: [Vybrat]
rsync -ahvc --delete --progress Cesta_Zdroj/ Cesta_Cil/

Pri zalohovani na lokale se nepta na heslo, ale hned spusti. NESPLET SI ZDROJ A CIL !!!!!

Dulezitejsi data, ale mensi objem, to zalohuji na extreni server prez rsync, jedna se o veci, co dali vice prace ci vytvoreni zabralo velmi procesoroveho casu:

Kód: [Vybrat]
rsync -ahvc -e ssh --delete --progress --bwlimit=5000k ZDROJOVY_USER@ZDROJOVY_SERVER:Cesta_Lokalni/ CILOVY_USER@CILOVY_SERVER:Cesta_Lokalni/

-e ssh pouzije ssh protokol. Vhodne pro prenos mezi servery, ne lokalne na jednom PC.

--progress zobrazi prubeh akce.

-ahvc tato moznost znamena, ze se pocitaji u souboru kontrolni soucty souboru, a zdali cilovou slozku aktualizovat (dany soubor), rozhoduje se podle kontrolnich souctu, ne podle casove znamky. Kdyz das jen -ahv, kontrolni soucty se predem nepocitaji, a tim padem to jde rychlejs (ale kontrolni soucty by mely byt v samotnem procesu prenosu po siti snad). Pokud jsou data dulezita na bezchybnost, dej -ahvc.

--delete Smaze soubory-slozky, ktere jsou v cilovem adresari, ve zdrojovem adresari nikoliv. Hodi se to pri opakovanem pouziti rsync. NESPLET SI ZDROJ A CIL !!!!!

--bwlimit=5000k Kdyz pustim rsync bez omezeni, nekdy zahltim router a ostatnim zatvrdne net. Takze limituju prenos, aby to nevyzralo cele pasmo. Limit nastavis v kilobajtech XXXk nebo v megabajtech Xm. U gigabitove pripojky (to bude mozna tvuj pripad) je ale stejne rychlost 15-50 MB/s podle toho, jak zvlada CPU pocitat kontrolni soucty.

Pustim rsync i 2x-3x po sobe, coz mi zkontroluje prez kontrolni soucty, zda zdroj a cil sedi. Zaloha na vzdaleny server je pro pripad pozaru, vykradeni, a pod. Vzdaleny server je v jinym meste.

Pokud by se zdrojovy disk podelal v prubehu zalohy, muze na cilovem miste toho dost chybet, minimalne aktualne prenaseny soubor. Proto je zaloha na extreni disk jiny, nez zaloha na vzdaleny server. Ale s danym postupem je mozne, ze si chybu je zdroji rozkopiruju do zalohy, pokud si toho nevsimnu vcas, tak do obou zaloh. Napodobne hrozba ramsomware.

Proto maly objem nejdulezitejsich dat pravidelne zazalohuji jako archiv a jednotlive archivy si nechavam na 3 mistech a jedno misto mimo bydliste - vzdaleny server, mam dost dozadu historii verzi. A posledni verze mam navic na dalsich odlisnych mistech - na USB klicich, radsi dva, na druhy zalohovat cas od casu, ale je na jinym miste jeden USB klic mam porad s sebou. A neddy zaloha jeste navic na mail. To se tyka veci, co zabiraji minimum mista, zato maximum prace. Tedy ruzne programy, skripty, diplomka, clanky a pod.

7z archivy kontroluji ve zdroji a cili. Novejsi verze 7z umi kontrolovat rekurzivne archivy ve slozce a do logu presmerujes hlaseni. A obcas u dulezitych dat kotrola jednotlivych archivu verzi daleko dozadu, zdali jsou citelne a nehnije medium.

SIFROVANI:

V notasu sifrovani domovske slozky, proti kradezi staci, zlodej se na data nedostane. Neni to uplne bezpecny, mimo home folder ti muze nekdo zaspinit disk a zistit heslo, ukract data. To uz je ale jiny level. Disk extreni sifruji pomoci TC, opet proti kradezi resp. smazani-zmenu dat, postaci. Vtipalci se najdou. Vlastne proti vsemu to staci. Na telefon mam heslo, uz mi nekdo z telefonem taky utek a kontakty-konverzaci znat nemusi. Heslo mi prijde lepsi nez gesto. Rozumet chovani Androidu je stejne taky sranda, ale na server se prez telefon treba neprihlasuji.

A pri zalohovani na dalsi mista (verejne sluzby) - 7z archiv je mozne zaheslovat, ale u Linuxove verze p7zip neumi zasifrovat nazvy souboru a slozek, adresarovou strukturu, musi se to nejdriv hodit do taru, coz zase muze podelat nealfanumericke nazvy souboru-slozek. Muze byt lepsi TC kontejner, kde po pripojeni muzes se soubory snadno pracovat a nejdou mimo. Ale zase TC kontejner nejde komprimovat, zalohy zaberou vic mista.

Windows bych na cokoliv, kde bych mel byt paranoidni, vubec nepouzival, tazatele nechapu. Stejne tak Android a vubec smartfoun ne, zasadne jen Linux. Pokud mas silny heslo aspon trochu rozume, tak vyhoda klice proti heslu neni moc velka. Pravda, heslo i gesto se da odkoukat (i natocit kamerou), chytnout prez keylogger, klic ne, musi ho utocnik nekde dostat. Nesifrovany klic je vice-mene k nicemu ohledne bezpecnosti. Smula, stale se najdou lidi, co skoci na phishing, sociotechniku, i prez neustale poucovani. Hrubou silou se prolomi jen primitivni heslo.

martyd420

  • ***
  • 193
  • K U B U N T U
    • Zobrazit profil
    • E-mail
Re:Jak bezpečně skladujete data doma?
« Odpověď #10 kdy: 23. 01. 2020, 08:59:04 »
--delete Smaze soubory-slozky, ktere jsou v cilovem adresari, ve zdrojovem adresari nikoliv. Hodi se to pri opakovanem pouziti rsync.

Jestli jsem to pochopil, --delete v cíli ( = v záloze) odstraní soubory, které smažu ve zdroji, tzn. v aktuálních datech, které chci zálohovat?
To mi nepřijde jako dobrý nápad, omylem přijdu o nějaký soubor a další spuštění zálohování mi odstraní jeho kopii v záloze...
T_PAAMAYIM_NEKUDOTAYIM  |  Nemám rád IPv6 influencery :P

D.A. Tiger

  • ****
  • 486
  • Tygr, který žere tučňáka ;-)
    • Zobrazit profil
    • E-mail
Re:Jak bezpečně skladujete data doma?
« Odpověď #11 kdy: 23. 01. 2020, 09:52:52 »
Ja skladuji mimo komply data v zalohach. Pouzivam program Borg Backup ( https://borgbackup.readthedocs.io/en/stable/ ), ktery toho umi opravdu hodne a zalohuji na externi 1TB disk

Zopper

  • *****
  • 657
    • Zobrazit profil
Re:Jak bezpečně skladujete data doma?
« Odpověď #12 kdy: 23. 01. 2020, 10:24:37 »
Jestli jsem to pochopil, --delete v cíli ( = v záloze) odstraní soubory, které smažu ve zdroji, tzn. v aktuálních datech, které chci zálohovat?
To mi nepřijde jako dobrý nápad, omylem přijdu o nějaký soubor a další spuštění zálohování mi odstraní jeho kopii v záloze...

Záleží, co se s tím děje dál. Pokud ty soubory sedí třeba ve snapshotovaném souborovém systému, tak to je ok - nejspíš chceš mít snapshoty, které přesně odpovídají stavu tvých dat v daný čas, aby ses k nim mohl efektivně vrátit. Tzn. ty sice smažeš soubory, co sis smazal u sebe, ale ony zmizí jen od tohohle snapshotu dál. Dříve vytvořené snapshoty ho budou pořád obsahovat.

Úplně si totiž nedovedu představit, jak bys chtěl mít zálohy bez nějakého verzování. Ať už stylem samostatného disku/adresáře (což ale straaašně žere místo, jakmile tam nasypeš multimédia nebo víc dat), nebo něčím, co se ti o ty verze postará "in situ" - snapshotovací filesystém, nebo třeba nějaký VCS jako Git... Záleží na datech. Bez toho se ti začne rychle hromadit bordel.

A co se mého řešení týče: Do nedávna jsem něco podobného používal taky, jen místo rsyncu mi to dělal chytřeji NextCloud. A v systému na serveru pak běžel cron, který každou hodinu udělal snapshot toho btrfs oddílu s daty. Aktuálně jsem přešel na Synology, které to verzování dělá automagicky a já se o to nemusím tak moc starat. Plus nezávisle na tom se mi většina dat zálohuje i přes Time Machine (protože Mac), který cca jednou za týden nechám přesypat na externí disk. A v nepravidelných intervalech Synology dumpnu a uložím tuhle zálohu geograficky odděleně. Samozřejmě, šifrování, kde to jde.

Re:Jak bezpečně skladujete data doma?
« Odpověď #13 kdy: 23. 01. 2020, 10:51:40 »
Ja skladuji mimo komply data v zalohach. Pouzivam program Borg Backup ( https://borgbackup.readthedocs.io/en/stable/ ), ktery toho umi opravdu hodne a zalohuji na externi 1TB disk
Já taky. Zatím jsem nic lepšího nenašel. Historické zalohy s malou velikosti jsou k nezaplacení.

Re:Jak bezpečně skladujete data doma?
« Odpověď #14 kdy: 23. 01. 2020, 13:22:38 »
Doma NB
šifrovaný disk přes LUKS, ZFS, pravidelně vytvořené snapshoty
lokálně mám minimum dat, občas ručně pustím script na odlití zálohy konfigurace, nastavení, etc.

Doma NAS
šifrovaný disky přes LUKS, ZFS, pravidelně vytvořené snapshoty
nepravidelně donesu externí disk, kam přes rsync synchronizuju poslední dat datových disků
systém se zálohuje stejně jako na NB do záloh

Externí disky nechávám v datovém trezoru v práci

Nevýhody:
- pokud přijdu o server, vypadnou mě verze u ZFS, ale data dostanu
- slabé místo je chvíle během synchronizace disků, jeden dobře mířenej blesk a odejde vše

Plány na vylepšení
- zálohovací disky taky na ZFS a řešit jen synchronizaci snapshotů přes externí krabičku
PMD85 -> Didaktik Gama -> PC XT -> ... x86/x51/ARM
Basic -> Turbo Pascal -> C++ -> Turbo ASM -> C# -> PHP -> Bash -> Go :-)