Welche Backup-Lösungen (Linux) haben sich bewährt?

Darin sehe ich deshalb kein ernst zu nehmendes Problem, weil ein Trojaner ja mit restic (oder Borg) umgehen können müsste. Im Prinzip kann er drauf zugreifen, aber ob er es wirklich tun wird? Das Risiko halte ich für vernachlässigbar.

naja… https://de.wikipedia.org/wiki/Security_through_obscurity

bei einem automatisierten restic habe ich scripte mit passwörtern oder ich hab ssh keys oder ähnliches im system…

wohin schiebt ihr so eure backups?
(also über die hier im Thread bereits erwähnten Lösungen hinaus)

Dass ich das noch erleben muss - mir wird Security by obscurity vorgeworfen… Prinzipiell ist es das zwar, aber inzwischen bin ich so pragmatisch geworden, dass ich nur entsprechenden Aufwand treibe, je nachdem was für einen Angriff ich für realistisch halte. Unter dem Gesichtspunkt ist Security by obscurity immer noch besser als gar keine Security, denn auch um diese zu überwinden ist kriminelle Energie nötig.

Das Szenario, für das ich vorsorge, ist, dass eine Ransomware unser NAS per Netzwerkfreigabe verschlüsselt. Ich halte es für sehr unwahrscheinlich, dass so eine (automatisierte) Ransomware nun ausgerechnet Routinen zum Löschen eines Restic-Backups eingebaut hat.

Sollte tatsächlich ein menschlicher Hacker eigenhändig in unser Netz eindringen inklusive SSH-Zugang zu unserem NAS, dann hätten wir natürlich verloren. Das sehe ich allerdings nicht, denn selbst wenn sich die Emotet-Leute, wie sie es ja machen, gründlich in unserem Netzwerk umschauen würden, kämen sie aller Voraussicht nach dem Schluss, dass bei uns nicht genug zu holen ist, als dass sich der Aufwand für sie lohnen würde.

Jedenfalls @Dennis, wenn du da ernsthafte Bedenken hast, dann äußere diese doch im Restic-Forum, dort wirst du voraussichtlich eine kompetente Antwort bekommen.

P.S.: Für den Fall, dass tatsächlich das restic-Backup gelöscht und die externe Backup-Festplatte genau in der einen Nacht verschlüsselt wird, in der sie pro Woche am NAS hängt, habe ich vor, eine 2. externe Backup-Platte anzuschaffen & diese dann immer im Wechsel dran zu hängen.

Einatmen Ausatmen.
ssh-Schlüssel lassen sich via .ssh/authorized_keys übrigends wunderbar in ihrer Nutzbarkeit beschränken, so dass mit ihnen kein/kaum/schwelich Schindluder getrieben werden kann (nochmal oben drauf neben der ganzen Nutzer-Permission-Schiene).
Damit lassen sich einfache tar-backups gut und sicher via pull realisieren: https://github.com/ecovillage/sometimes macht das so (ist aber geschätzte 20 Stunden vor Entwicklungsstand “gut nutzbar”).

Hey… wollte dich nicht persönlich angreifen…
Löschen lässt sich ja auf Restic-Server-Seitig auch generell unterbinden. Das ist ja das kleinere Problem. Den SSH Schlüssel ausschließlich für den einen NAS zugang zu setzen, ist ja auch schonmal eine gute Einschränkung.
Dem Restic das Lesen und damit den zugriff auf alte Daten zu verbieten, dürfte aber unmöglich sein. Ich muss mir das nochmal in Ruhe anschauen.

Mir geht es um wirklich sensible Daten. Daher kann das Konzept gar nicht genug Alu-Hütte verpasst bekommen =)

Ich bleibe dran…

Alles klar, dann haben wir wie vermutet einfach unterschiedliche Anforderungen. :wink:

Privat: Wie beschrieben BackInTime. Auch push. Wenn sich mein Ubuntu Ransomware einfängt, dann habe ich Pech.
Gemeinschaft: Win Clients sichern Daten auf NAS (Samba). NAS macht via pull versioniertes Backup auf 2. NAS. Wenn sich der Client Ransomware einfängt, kann er die Dateien auf dem NAS verschlüsseln, die dann auf dem 2. NAS verschlüsselt gebackupt werden. Die alten unverschlüsselten Dateien auf dem 2. NAS sind jedoch für den Client nicht zugreifbar. Wenn sich das NAS Ransomware einfängt, dann kann es vermutlich die Dateien auf dem 2. NAS verschlüsseln, dann haben wir Pech gehabt.

Nur Client. Extern gehostete IMAP Konten: Gar nicht. Lokal liegende POP3 Konten: Das gesamte Thunderbirdprofil.

Privat: externe HDD (die aktuell dauerhaft am Laptop hängt). Nach Weihnachten plane ich ein Konstrukt aus 2 NAS in getrennten Gebäuden.
Gemeinschaft: 1. NAS dient als zentraler Speicher, Backup auf 2. NAS in getrenntem Gebäude.

3 Like

Ich muss mich gerade auch mit Backups auf Linux befassen und habe daher mal einen Bekannten diesbzgl. angehauen. Hier seine Antwort:

Wenn ich mich richtig entsinne, dann verwendet Linux Mint “Deja-Dup” als Backup Software. Für Privatanwender ist das bestimmt eine vernünftige und einfach einzurichtende Lösung, für Firmen und geschäftliche Unternehmungen würde ich darauf jedoch nicht zurückgreifen.

BackupPC ist “relativ alt”. Zumindest sieht das damit verbundene Webinterface so aus, aber im Kern hat sich an der Tauglichkeit dieser alten Software nichts geändert. Es wird nach wie vor von vielen eingesetzt, insbesondere dann, wenn eine grafische Oberfläche mit einer zentrale Stelle zum Backup
genutzt werden soll. Hier reicht auch bereits ein Raspberry Pi.
BackupPC setzt dabei ebenfalls auf Lösungen wie rsync in Verbindung mit SSH und TAR. Inkrementelle und differentielle Backups sind ebenso kein
Problem wie volle Backups.
Link dazu zum Ubuntuusers Wiki: https://wiki.ubuntuusers.de/BackupPC/

BorgBackup ist eine Lösung, welche nur per Kommandozeile funktioniert. Immerhin bietet es sich aber auch dann an, wenn man eben keinen zentralen Server zur Sicherung verwenden möchte. In diesem Fall muss eben ein Cronjob erstellt werden, welcher das Backup startet. Nichts desto trotz kann
aber auch BorgBackup auf einem zentralen Server installiert und via SSH und rsync die Sicherung einzelner Zielsysteme durchführen.
Differentielle und inkrementelle Backups kennt natürlich auch BorgBackup. Ein Vorteil von BorgBackup ist sicherlich auch die Möglichkeit Backups mit
GnuPG zu verschlüsseln. Das erlaubt sogar eine “offsite” Sicherung, also eine Sicherung außerhalb des Betriebs, bspw. bei einem Cloud Storage Anbieter jedoch ohne dass der Anbieter des Cloud Speichers die Daten einlesen könnte.
Link dazu zum Ubuntuusers Wiki: https://wiki.ubuntuusers.de/BorgBackup/

Neben den genannten gibt es noch andere wie Dirvish oder eben auch ganz einfach “plain” rsync, welches per Cronjob jede Nacht ausgeführt wird. Aber gerade bei der Wiederherstellung sind die beiden o.g. Lösungen sehr sehr angenehm, da man zwischen einzelnen Zeitpunkten bequem hin und her springen und den Wiederherstellungspunkt /-ziel bequem auswählen kann.

Da werfe ich doch noch mal 2 Vergleichsartikel restic vs. Borg in den Ring:

Mich überzeugt an restic u.a., dass es als standalone binary ohne Dependency Hell daherkommt. :yum:

Derweil bei der Berliner Polizei:man_facepalming:

Hab jetzt mal über restic gebloggt.

Nachtrag: Krass, am CERN (!!!) sind sie seit nem knappen Jahr dabei, restic für ihre Backups zu evaluieren. Das ist ja so was wie der Ritterschlag für ein Backup-Tool.

Gibts hier Meinungen/Erfahrungen zu duplicati?
Ich habs jetzt noch nicht getestet, aber die Featureliste klingt erst mal interessant.
(bei Restic fehlt mir die Option im Repository einzelne Dateien/Ordner nachträglich zu löschen)

Huaah, das braucht .Net/Mono, da hab ich doch erst mal gezuckt. Keinerlei praktische Erfahrungen damit, ich bin wie gesagt mit restic sehr zufrieden.

War immer meine FOSS-Hoffnung für ein funktionierendes Backup unter Windows.* Mit Dem Versionssprung auf V2 ist das Projekt in der Betaphase anscheinend ziemlich gestorben, seit drei Jahren sehe ich da kaum Fortschritt… Daher für mich aktuell nicht wirklich zu empfehlen.

*Die Windowseigene Lösung hab ich ein paar Mal vergeblich probiert zum Laufen zu bekommen, Ärger mit Sonderzeichen in Dateinamen usw.

Danke… das klingt nach klarem KO-Kriterium.

So, da ich jetzt dieses Forum hier entdeckt habe/gezeigt bekommen habe, schreibe ich jetzt zu einigem Zeug meinen Senf dazu.

Also Backups. Puh, wichtig, aber vernachlässigt. In der Kommune gibt es da gar keine irgendwie systematische Lösung. Viele sichern persönlich sporadisch manuell mit externer Festplatte. Für Gemeinschaftsdaten gibt es Kraut und Rüben Lösungen, die man keinem erzählen kann.

Da wir aber demnächst ein dickes NAS + Spiegelsystem in einem anderen Haus kaufen werden, wird die Backupfrage eh auf uns zukommen. Persönlich habe ich bisher Dejadup, BackinTime, grsync und Vorta ausprobiert. Bin mit jedem Tool eine Zeit lang gefahren. Manuelle Backups mit grsync benutze ich jetzt am längsten. Derzeit bin ich von Vorta, einem Borg-Gui, angetan. Aber ob das was für den Otto-Normal-Kommunarden ist? Wahrscheinlich muss ich das dann auf 80 Rechnern manuell einrichten…

Schlechte Erfahrungen haben wir neulich mit Timeshift gemacht. Es hat wenig Optionen und schreibt den Datenträger voll bis nur noch 1 GB frei ist. Da Timeshift als Systemwiederherstellungstool und nicht als Datenbackup-Programm gedacht ist, mag es eh nicht so interessant zu sein. Naja zwei unserer Leute konnten sich irgendwann nicht mehr in ihr System einloggen, weil die Festplatte von Timeshift fast voll geschrieben war und irgendwelche /var/log-Dateien den Rest zugeschaufelt haben.

2 Like

OT: Habe durch Zufall mitbekommen, dass wir gerade Bedarf an einem Backuptool für Windows Server hätten. Jemand eine FOSS Idee? Details gerne im nicht-öffentlichen Teil. :slight_smile:

Falls noch jemand weitere Tools ausprobieren will, es gibt einen Abschnitt Storage/Backups: https://sysadmin.it-landscape.info/

2 Like

Coooole Seite! Danke @Simon!