Witajcie, z racji narastających ataków ransomware chcę uruchomić dodatkowe backupy plików z poszczególnych hostów i serwera

Teraz korzystam z oprogramowania Ferro Backup System,
niestety ma on pewne ograniczenia i minusy z mojego punktu widzenia

1. Aplikacja działa na zasadzie serwer - klient
2. W rezultacie wyglada to tak że backup z klientów robi się najpierw na główny serwer (Windows Server w moim przypadku) a dopiero potem z niego za pomoca mapowania dysków, co też uważam za minus można to przerzucić na serwer NAS
3. Brak możliwości wysyłki plików po FTP.

Przetestowałem ostatnio SynBackPro, niestety z FTP radzi sobie średnio, tzn. nie potrafi wysłać (przyrostówki) skompresowanej + zaszyfrowanej. Tylko pełna kopia.

Zależy mi na programie który będzie w stanie wysyłać pełne kopie + przyrostowe z komputerów klienckich i serwera bezpośrednio na FTP (skompresowane + zaszyfrowane)

Z czego korzystanie?
Zapytam jeszcze, ile czasu przechowujecie kopie zapasowe (np. baz danych) na zewnętrznych dyskach, ile dni taki ransomware na ujawnia, z doświadczenia na pewno coś powiecie.

Ja korzystam z synology ale prywatnie

A dlaczego NAS po FTP? Większość backupów korzystka z SMB.

NIestety tego typu aplikacje nie zawsze muszą spełniać wymagania. Pytanie czy ma więcej zalet czy wad. Tego typu aplikacje są wygodne, ale osobiście jeśli mogę wolę pisać własne skrypty/aplikacje do backupu.

Niestety większośc aplikacji ma tę przypadłość.

Odpuściłbym sobie kopie na NASa. Jeśli masz jakiś sensowny NAS - Synology lub Qnap możesz użyć aplikacji do synchronizacji plików. Unikasz udostępniania zasobów po SMB.

W takich przypadkach skryptuje wykonywanie kopia w Bash, Powershell, a ostatnio w Pythonie - mogę ten sam skrypt użyć na serwerach linuksowych i windowsowych.

Zapytaj swojego pracodawcę/klienta. Jeśli to Twoje domowe kopie, sam musisz odpowiedzieć sobie na to pytanie - to zależy jak daleko chcesz się cofnąć. Jeśli wystarczy Ci cofnięcie się o jeden dzień, to mogą wystarczy 4 kopie, jeśli o miesiąc, to 30 kopii minimum.

Co do zasady samych kopi, powinno się stosować zasadę przynajmniej 3-2-1.

1. Jedna kopia lokalna, np. dysk zewnętrzny;
2. Jedna kopia lokalna na osobnym nośniku, w innym pomieszczeniu, np. serwer NAS w osobnym budynku;
3. Jedna kopia poza firmą, np. usluga chmurowa, inny serwera poza siedzibą firmy lub dysk przechowywany w innym miejscy poza firmą.

Na domowe potrzeby używam Easus Todo Backup. W planie kopii zapasowych można ustawić kopię offsite na FTP (ma to prawie na pewno wersja darmowa). Używam bez serwera. Tzn kopię robię na kliencie na dysk USB. Nie sprawdzałem tej opcji offsite, ale na oko to wytransferuje dodatkowo kopię na FTP.

obraz835×572 15.5 KB

Normalnie to Timeshift, a na Windowsa to
Macrium:

No właśnie brak możliwości po FTP , nie potrafię zrozumieć co szkodzi programistom/producentom stworzyć tą opcje.

Co do kopii na NAS po FTP dlaczego tak się przy tym upieram?
Bo teoretycznie i praktycznie w sumie też ransomware na Synology czy Qnap nic nie zdziała nawet przy podmontowanych dyskach ale mimo wszystko dla mnie wysyłka po FTP jest jakby „bezpieczniejsza” odseparowane całkowicie od tego co na FTP.
Cóż pewnie faktycznie pozostaje jakieś gotowe oprogramowanie producentów NAS - które przetestuje

Kopie 3-2-1 jasna sprawa tak też robię .

Pytałem ile dni pod względem tego jak długo infekcja ransomware sie rozmnaża chodzi o to że robie backupy i nagle sie okazuje że wszystkich 5 backupów wstecz jest już zaszyfrowanych.

Wracając do backupów testuje teraz oprócz ferro rozwiazania Xopero i Veeam , potrzebuje to również pod backup wirtualek może ktoś korzysta? podpowie na co zwrócić uwagę

Ależ to jest od lat,
tylko,że za pieniądze.

Kasa. W przypadku, np. Veeam chodzi o kasę, aby wykupił licencję i miejsce w ich repozytorium przechowywania kopii. Kolejna sprawa FTP jest uznawany za średniej jakości bezpieczny protokół, można używać FTPS, ale to wiąże się z certyfikatami SSL, może nie tyle kosztowne, co upierdliwe. Dlatego SFTP często jest dostępne w wersjach premium - tu SSL jest niepotrzebny, ale SSH trzeba dobrze zabezpieczyć przed atakami. Producenci wolą tworzyć własne protokoły komunikacji, których działa nikt nie zna.

FTP jest lepsze, niż SMB. Szczególnie, gdy poświadczenia trzeba zapisać w Windowsie. W przypadku Veeama czy Cobiana ma to mniejsze znaczenie, bo tylko aplikacja zna dane dostępowe. Jednak pomimo wad FTP i tak będzie lepsze, niż SMB.

Nie napisałeś czy robisz backupy u siebie w domu czy w firmie. U siebie w domu, sam oceniasz jak ważne są dla Ciebie kopie. W przypadku firmy, to właściciel powinien zdecydować jak ważne są dla niego dane i to on powinien zdecydować. Wiele firm przyjmuje politykę rotacji 1 kopia na dzień, 1 kopia z całego miesiąca, 1 kopia z całego roku plus do 5 lat wstecz. To znaczy, codziennie robisz, np. kopie przyrostowe, raz na tydzień pełną, raz na miesiąc pełną z cełego miesiąca i raz w roku pełną kopię z całego roku i przechowujesz ją 5 lat, czyli masz co najmniej 52 pełne kopie. Nie decyduj sam, zapoznaj się z polityką firmy lub jeśli taka nie istnieje, ustal to.

W przypadku wirtualek i Veeam masz 3 opcje:

Darmowa - Veeam Agen na każdej VM.
Darmowa - Veam Backup and Replication CE - do 10 wystąpień - jeśli kopiujesz tylko VM, to do 10 VM
Płatna - Veeam Backup and Replication i kupujesz tyle licencji ile potrzeba,

Jeśli masz VM na KVM, to możesz to sobie oskryptować lub użyć Veeam Agent. W przypadku Hyper-V pewnie też dałoby się oskryptować to w PowerShell. W przypadku innych nie wiem.

Generalnie soft tego typu jest płatny i kosztowny. Z darmowych to chyba ewentualnie Bacula.

Musisz sobie odpowiedzieć na proste pytanie, jeśli chcesz spać spokojnie.

Chcesz mieć narzędzie do backupy czy przypodobać się firmie tnąc bez sensu koszty. Jak to mawia mój koleja po fachu „klient za to płaci nie ty”. Jeśli szefostwo mówi, że nie chce wydać pieniędzy na licencje, to uświadamiasz ich w sposób oficjalny, że jeśli nie kupią narzędzi, pozwalających wypełnić Twoj obowiązki, oni ponoszą odpowiedzialność. Jednak zrób to oficjalną drogą, właściciel firmy nawet jeśli nie chce, musi znać ryzyko, wtedy Ty spisz spokojnie, bo to jego decyzja, nie Twoja.

Taaa… jakby jeszcze nie dało się podsłuchać komunikacji FTP.
SMB przy dobrej implementacji backupu jest lepsze (czyli brak możliwości zapisu z uprawnieniami domeny i zapisywanie poświadczeń przez aplikację).

W wypadku pełnej obsługi, to tak. Jak robisz tylko i wyłącznie pełne kopie skryptem, to masz nieograniczoną ilość maszyn (Hyper-V, vCenter). W CE jest też ograniczone licencyjnie. Nie możesz sobie np. podpiąć tego pod panel klienta i dawać możliwość korzystania z tego stronie trzeciej.
W sumie nie jestem też pewien, czy 2VM to nie był odpowiednik jednej fizycznej (czyli np. też VM na KVM).
Osobiście jestem zadowolony z Veeam.

Do KVM darmowy (do 10VM) jest polski Storware. Nie korzystałem, więc nie wiem czy polecać.

Napisałeś dokładnie to samo co ja. Poza tym istnieje coś takiego jak FTPS.

Znowu napisałeś to co ja. Jeśli chodzi o KVM, można to sobie łatwo oskryptować, ale ze względu na pewne aspekty, można instalować Veeam Agent na VMkach.

Generalnie soft jest dobry, ale zbyt często zgłasza dziwne błędy, których sam producent nie ogarnia. Jednak mając do czynienia z programistami, nie dziwi mnie to, że sami nie ogarniają własnych błędów.

Szczerze? Wolę to sobie oskryptować. Skrypt w Bashu to 10 minut roboty. W pythonie może trochę więcej. Może i brakuje softu z GUI dla klikaczy, ale pod KVM łatwiej zrobić backup, niż komeryjnym softem, który nie wiadomo co tak naprawdę robi i trzeba mu zaufać na słowo harcerza, za miliony monet. W każdym razie miło, że ktoś trzeci wspiera KVM.

To w Linuxie chyba prościej w chmurę wrzucić. Za darmo.
Katalog Timeshifta crontabem przewalam na MEGA. Na Mega mam ustawione usuwanie starszych niż 30 dni. Kopia się robi raz w tygodniu, trzymam 3-wstecz. Te kopie przyrostowe to lekkie są.
jak mi się zachce to mogę ręcznie.
Zero gimnastyki. Raz ustawione i działa.

megasync11920×1080 231 KB

Ale on ma przynajmniej 2 PC podpięte pod Serwer i pewnie na hop śup nie przeskoczy by leciały one do mega.nz, bo ktoś sparował to z GNU/Linux; a nie daj Boże jakieś prywatne badania wyciekną i straci „gruby hajs”.

Takie rzeczy to się trzyma na osobnym dysku w sejfie, a nie w chmurach, czy pendivach w szufladzie.? /bo i takie przypadki widziałem. Doktoranci na politechnice zostali pozbawieni roku pracy, bo dziecko sprzątaczki, mp3 sobie ponagrywało. Leżało to użył

No nie do końca. Wniosek mamy inny.

Uszczegółowiłem pewne kwestie (a w każdym razie tak mi się wydaje), nie neguję tego, co napisałeś.

Tak jak wspomniałem, nie mam większych problemów.

Sam nie jestem do końca pewien, ale pewnie z
https://qemu-project.gitlab.io/qemu/interop/bitmaps.html

Problem pojawia się jak pani Gienia chce odzyskać plik. Wtedy GUI staje się bardzo przydatne, bo nie trzeba się bawić kopiami przyrostowymi.

Ja też nie mam, wspomiałem tylko, że czasami Veeam, nie ważne czy Agent czy B&R zgłasza dziwnę błędy. Szczególnie widzę to, gdy w tym samym czasie, w różnych lokalizacjach (niezależne od siebie), nie ważne czy Veeam B&R czy Veeam Agent zgłaszają identyczne błędy. Jedna póki co, Veeam nigdy mnie nie zawiódł, a zdarzało mi się przywracać z jego kopii systemy.

Nie znam tego projektu, ale nawet z qcow2 można bez problemu dostać się do pojedynczych plików. Właśnie dlatego w większości przypadków wolę napisać własny skrypt, niż liczyć na to, że soft firmy 3 spełni moje oczekiwania.

To ja dorzucę naszego rodzimego producenta Ferro Backup System. Warto przetestować, wersja klient serwer jest dostępna za darmo i można testować bodajże na 2 komputerach.

OneDrive’a

Dropbox, Google Drive, Mega. Zwłaszcza Dropbox ma fajną funkcję cofania kolejnych wersji, więc nawet jak nam jakiś wirus zaszyfruje pliki, to wystarczy po prostu cofnąć do momentu gdy były czytelne.

Anegdotycznie:

Uważałbym na Google Drive. O ile przez Web nigdy nie miałem problemów, o tyle apka na Windowsa lubiła sobie pokasować jakieś pliki po drodze. Może teraz to już poprawili, ale ja osobiście nie ufam im z synchronizacją.
Dropbox mi zawsze działał idealnie i też bym polecał na jeden z backupów.