Sinnvolle Backupstrategie

[tadeus]

Hallo,

ich benötige Hilfe für eine sinnvolle Backupstrategie.

Aktueller Situation ist folgende. Es ist ein 24/7 Rechner (2x6tb im Raid1) mit Freenas im Einsatz. Das Freenas soll für die Backups zuständig sein. Ich möchte mich vor Festplattenausfall und Cryptotrojanern an den Clientrechnern/Handys schützen. Bisher kams dazu noch nicht, aber persönliche Wert der Daten (Fotos, Videos, Dokumente) ist für die Familie erheblich.

Auf dem Freenas gibt es für jeden Rechner/Handy einen Pool also:
/Backups/PC1
/Backups/Handy1 und so weiter
Auf diesen Pools darf nur der jeweile User Lesen und Schreiben.

• Der WindowsPC mit den Fotos und Videos sichert jeden Tag mit Duplicatis "Intelligenter Sicherungs-Aufbewahrung"
  Show

  "Mit der Zeit werden die Sicherungen automatisch gelöscht. Es bleibt eine Sicherung für jeden der letzten 7 Tage, jede der letzten 4 Wochen und jeden der letzten 12 Monate erhalten. Es bleibt immer mindestens eine Sicherung erhalten."
• Handys synchronisieren deren Home Verzeichnis mit syncopoli
• Ubuntu PCs syncen deren Home Verzeichnis per SSH

1. Wie kann ich da jetzt eine sinnvolle Sicherungsschicht mit einbauen, um mich gegen Verschlüsselungstrojaner abzusichern?
   1. Genügen da Snapshots?
2. Ich habe noch die Möglichkeit die Daten auf interne und externe Platten sowie auf einen Rechner an einem anderen Standort zu sichern.
   1. Macht davon etwas Sinn und wenn ja was und wie?
3. Macht das wie ich es mache überhaupt Sinn oder soll ichs ganz anders angehen?

Vielen Dank vorab

Grüße

 

[John Doe]

hallo tadeus,

ich denke das ist gut so, ich mache es ähnlich.
habe einen haupt freenas server, der macht snapshots und diese snapshots werden zu einem 2. freenas server, der woanders steht übertragen.

snapshots reichen aus, wenn etwas verschlüsselt wurde. musst es halt bemerken.

off site backup (2. nas der woanders steht) macht in meinen augen auch sinn, falls es mal brennt o.ä.
zwischen 2 freenas kann man snapshot replication task nutzen (ist in freenas eingebaut und kein plugin/jail). baut einen ssh tunnel auf und überträgt dadurch die snapshots. daraus kannst du dann die dateien wiederherstellen.

wenn es kein freenas ist kann man z.b. mit rsync die dateien kopieren lassen.

 

[tadeus]

ich denke das ist gut so, ich mache es ähnlich.
habe einen haupt freenas server, der macht snapshots und diese snapshots werden zu einem 2. freenas server, der woanders steht übertragen.

snapshots reichen aus, wenn etwas verschlüsselt wurde. musst es halt bemerken.

off site backup (2. nas der woanders steht) macht in meinen augen auch sinn, falls es mal brennt o.ä.
zwischen 2 freenas kann man snapshot replication task nutzen (ist in freenas eingebaut und kein plugin/jail). baut einen ssh tunnel auf und überträgt dadurch die snapshots. daraus kannst du dann die dateien wiederherstellen.

Danke schon mal für deine Antwort.

Ich bin das mal mit den Snapshots durchgegangen und ich glaub ich versteh das halbwegs. Ich kann also jederzeit zu einem Snapshot Zustand zurückkehren. Speicherplatz benötigt der Snapshot nur wenn in einem Snapshot davor existierende Dateien gelöscht oder geändert werden.

Tasks > Periodic Snapshot Tasks
Dazu hab ich eine Frage. Begin und End versteh ich, also Zeiten in denen sich freenas um Snapshots kümmern darf, so dass andere Sachen auf dem System nicht verlangsamen, da das anscheinend Ressourcen braucht.
Day of week, versteh ich auch, also in meinem Fall will ich an einem Tag in der Woche einen Snapshot machen.

1.) Aber was ist Interval mit der Minutenangabe? Ich möchte einen Snapshot an dem definierten Tag in der Woche in der definierten Begin-End Zeit. Ich brauch doch nicht jede Stunde in der Begin-End Zeit nen neuen Snapshot. Was hat es damit auf sich?

2.) Gibts auch einen Automatismus um das ganze speicherfreundlich zu halten? Also das ich am Ende Monats und Jahres-Snapshots habe, aber die Wochensnapshots verworfen werden. Oder muss ich da mit der Snapshot Lifetime arbeiten? Also das ich 3 Tasks am laufen hab. Je einen für Woche/Monat/Jahr und nur der Wochensnapshot regelmäßig verworfen wird.

Replication
Nur das ich das richtig verstehe. Ab dem ersten Snapshot werden auf dem Ziel ZFS Pool alle Daten vorhanden vorhanden sein? Anschließend werden nur noch die Änderungssnapshots übertragen?


Wenn ich das alles richtig verstanden hab, klingt das für meine Zwecke schon mal ganz gut. Das heist für mich auch ich benötige keine externe Backupplatte mehr mit der ich manuell rumwurschteln muss und auch kein Duplicati mehr da ich damit jederzeit zu einem alten Zustand zurück komme.

 

[John Doe]

Ja genau, ein Snapshot ist eine Momentanaufnahme der Dateien. Werden die Dateien nicht geändert ist der Snapshot sehr klein. Änderst du 100% der Dateien, müsste der Snapshot die Größe der Dateien haben.

Periodic Snapshot task:



Das sind meine Einstellungen für den haupt Pool.
Rekursiv: wenn die Daten des Snapshots im delta geändert werden sollen und nicht direkt ein neuer erstellt werden soll
Snapshot lifetime: Wie lange der Snapshot aufbewahrt werden soll, wird danach automatisch gelöscht
Interval: Ist die Zeit zwischen 2 Snapshots. machst du dort 2 Minuten, wird 2 Minuten nach Snapshot 1 ein weiterer erzeugt.

zu 2) ich hatte es eine weile auch so, dass ich 2 Serien von Snapshaots angefertigt habe, halbjährlich mit 16 Wochen und wöchentlich mit 4 Wochen. das hat aber recht viel Speicherplatz benötigt, und ich habe es nie gebraucht. Mein Beispiel ist jetzt hoffentlich ein kompromis daraus. Ich habe jetzt <als 2 Monate Zeit um potentielle Probleme zu erkennen.

Sollte also ein Verschlüsselungstrojaner meinen NAS befallen, hoffe ich, dass er alles verschlüsselt, da es mir sonst bestimmt nicht auffällt.


Replication:
ja genau so ist es


Noch ein Tipp: Wenn du den ersten Replication snapshot überträgst, mach es in deinem LAN, wo du weißt, dass es sicher ist. Mach encryption/ cypher aus, sonst dauert es ewig. es wird ein SSH Tunnel aufgebaut und irgendwo in der SSH implementation ist (meiner Meinung nach) ein Fehler, darum ist es so langsam.

wenn du den ersten snapshot übertragen hast, google mal nach replication task dedicated user.

Dort wird gezeigt, wie man einen nutzer anlegt für den Task, damit man das Root Passwort nicht ins internet raus schickt.