Forum » Informacijska varnost » Kako "varno" avtomatsko izvajat backup na NAS?
Kako "varno" avtomatsko izvajat backup na NAS?
AnotherMe ::
Imam qnap nas. Imam računalnik (w10).
Kako čimbolj varno izvajat backup?
Z "varno" mislim, na to, da nas nebi bil enostavno viden na mreži (kriptovirusi...).
Na nasu naredim share z ločenim userjem in geslom samo za backup?
Kater program uporabit za avtomatizacijo kopiranja? Cobian, veeam, je sedaj aktualno kaj tretjega?
Želel bi dnevni inkrementalni in mesečni celotni backup.
Datoteke želim na nasu videti in odpirati vsako posebej (da niso v kakem "čudnem" arhivu, ki ga lahko odpreš samo z programom za arhiviranje - če je kak navaden zip je načeloma ok).
Cobian se mi zdi, da ima opcijo, da se na mrežni disk prijavi z "drugim" uporabnikom, kar je načeloma ok, mi pa ne odgovarja, da v primeru da ima nekdo dostop do mašine, lahko načeloma pride potem tudi do nasa.
Je bolje delat v drugo smer? Se pravi, da podatke, ki jih želim arhivirat dam v sherano mapo na računalniku in jih potem nas "pobere"?
V tem primeru bi tudi, če se "najde" to sherano mapo, lahko komprimira samo zadnjo verzijo, na nasu pa so podatki še ok.
Je to sploh mogoče naredit na qnapu?
Sem si vse skupaj narobe zamislil?
Še kak pameten nasvet?
Kako čimbolj varno izvajat backup?
Z "varno" mislim, na to, da nas nebi bil enostavno viden na mreži (kriptovirusi...).
Na nasu naredim share z ločenim userjem in geslom samo za backup?
Kater program uporabit za avtomatizacijo kopiranja? Cobian, veeam, je sedaj aktualno kaj tretjega?
Želel bi dnevni inkrementalni in mesečni celotni backup.
Datoteke želim na nasu videti in odpirati vsako posebej (da niso v kakem "čudnem" arhivu, ki ga lahko odpreš samo z programom za arhiviranje - če je kak navaden zip je načeloma ok).
Cobian se mi zdi, da ima opcijo, da se na mrežni disk prijavi z "drugim" uporabnikom, kar je načeloma ok, mi pa ne odgovarja, da v primeru da ima nekdo dostop do mašine, lahko načeloma pride potem tudi do nasa.
Je bolje delat v drugo smer? Se pravi, da podatke, ki jih želim arhivirat dam v sherano mapo na računalniku in jih potem nas "pobere"?
V tem primeru bi tudi, če se "najde" to sherano mapo, lahko komprimira samo zadnjo verzijo, na nasu pa so podatki še ok.
Je to sploh mogoče naredit na qnapu?
Sem si vse skupaj narobe zamislil?
Še kak pameten nasvet?
iso2000 ::
uporabljam veeam, na NASu je user/pass samo za backup s katerim veeam potem dostopa do NASa. Deluje inkrementalno backupiranje. Edina težava je, če se ne motim, da ne moreš dostopat do podatkov, so v nekem "veamu lastnem" formatu. Kopiranje datotek v nestrisnjeni obliki je ponavadi počasno. (ne vem koliko podatkov se ti prenaša...)
Kar se tiče dostopnosti NAS-a, lahko uporabiš kakšno "pametno" vtičnico in NAS vklopiš le ko ga potrebuješ s pomočjo skripte ali nastavitev časovnika vtičnice.
Qnap imam tudi nek svoj software za backup, ki kopira direktno datoteke, vendar ne vem če zna uporabiti drug user/pass za dostop do NAS-a.
Kar se tiče dostopnosti NAS-a, lahko uporabiš kakšno "pametno" vtičnico in NAS vklopiš le ko ga potrebuješ s pomočjo skripte ali nastavitev časovnika vtičnice.
Qnap imam tudi nek svoj software za backup, ki kopira direktno datoteke, vendar ne vem če zna uporabiti drug user/pass za dostop do NAS-a.
AnotherMe ::
Kar se tiče dostopnosti NAS-a, lahko uporabiš kakšno "pametno" vtičnico in NAS vklopiš le ko ga potrebuješ s pomočjo skripte ali nastavitev časovnika vtičnice.
Dejanko sem mislil dati vmes en dodaten switch, ki bi se vklapljal/izklapljal preko časovnika - nas se mi zdi, da bi ne bilo pametno vklapljat/izklapljat, switch pa načeloma ni toliko problematičen - pa tudi če crkne, je poceni za zamenjat :D
AnotherMe ::
Glede na to, kako pogosto se na tem forumu vsi vedo kako bi stvari morale biti narejene, pa je presenetljivo malo odgovorov :(
p0f ::
Glede na to, kako pogosto se na tem forumu vsi vedo kako bi stvari morale biti narejene, pa je presenetljivo malo odgovorov :(
Preko sftpja na zpool, ssh pa naj po vsakem zaprtju ssh sessiona naredi zfs snapshot lokacije. A to znas, a zna to tvoj nas? Ne vem, moj zna.
Glede izklapljanja elektrike - samo, ce se ti hebe za diskovje.
Zgodovina sprememb…
- spremenilo: p0f ()
toro69 ::
Problem je, da bi rad imel NAS, ki ni dostopen preko mreže?
Virusi rabi samo enkrat priti na NAS (to lahko naredi na različne načine) potem pa si vzame čas za kriptirat stvari. Kriptira tudi če ga sklopiš iz omrežja.
Virusi rabi samo enkrat priti na NAS (to lahko naredi na različne načine) potem pa si vzame čas za kriptirat stvari. Kriptira tudi če ga sklopiš iz omrežja.
jukoz ::
Hja, malo informacij si dal - kaj pa backupiraš? Koliko je podatkov in kakšen tip so.
A NAS želiš uporbljati še naprej kot NAS ali samo kot backup?
A NAS želiš uporbljati še naprej kot NAS ali samo kot backup?
Zgodovina sprememb…
- spremenilo: jukoz ()
AnotherMe ::
Hja, malo informacij si dal - kaj pa backupiraš? Koliko je podatkov in kakšen tip so.
A NAS želiš uporbljati še naprej kot NAS ali samo kot backup?
Podatkov ni (grozno) veliko, kakšnih 50-100 gb (se sproti tudi briše).
Gre za razne dokumente, fotografije, grafike (corel, adobe), spletne strani, razni projekti ipd....
Ta NAS bo uporabljan samo za backup - za sprotno delo, filme in ostale zadeve bo drug nas, podatki na njemu pa niso "mission critical".
jukoz ::
Ta drugi NAS si že kupil?
Sicer pa nima veze - naredi backupe na prvem, nato pa naj drugi kopira iz prvega k sebi. Drugi naj se na prvega poveže preko SSH oz neki, ne preko sambe in podobno. Prvi NAS in ostali tvoji PCji naj ne posegajo na drugega.
Za backup mašino lahko uporabiš katerokoli random PC, tako ali tako bo gor delal samo rsync in SSH.
Virusi tipa cryptolocker ti bodo zaklenili tvoje PCje in NAS, backup mašine pa ne bodo poznali oz nimajo načina kako jo zaklenit.
Podobne rešitve rihtamo strankam + žlahti. Vsem so všeč razni WD MyCloud zadeve, ko se pa zaklene je pa hudič. Oz pri WDju je vedno kak backdoor kje odprt =)
https://www.bleepingcomputer.com/news/s...
Sicer pa nima veze - naredi backupe na prvem, nato pa naj drugi kopira iz prvega k sebi. Drugi naj se na prvega poveže preko SSH oz neki, ne preko sambe in podobno. Prvi NAS in ostali tvoji PCji naj ne posegajo na drugega.
Za backup mašino lahko uporabiš katerokoli random PC, tako ali tako bo gor delal samo rsync in SSH.
Virusi tipa cryptolocker ti bodo zaklenili tvoje PCje in NAS, backup mašine pa ne bodo poznali oz nimajo načina kako jo zaklenit.
Podobne rešitve rihtamo strankam + žlahti. Vsem so všeč razni WD MyCloud zadeve, ko se pa zaklene je pa hudič. Oz pri WDju je vedno kak backdoor kje odprt =)
https://www.bleepingcomputer.com/news/s...
AnotherMe ::
Ta drugi NAS si že kupil?
Sicer pa nima veze - naredi backupe na prvem, nato pa naj drugi kopira iz prvega k sebi. Drugi naj se na prvega poveže preko SSH oz neki, ne preko sambe in podobno. Prvi NAS in ostali tvoji PCji naj ne posegajo na drugega.
Za backup mašino lahko uporabiš katerokoli random PC, tako ali tako bo gor delal samo rsync in SSH.
Virusi tipa cryptolocker ti bodo zaklenili tvoje PCje in NAS, backup mašine pa ne bodo poznali oz nimajo načina kako jo zaklenit.
Podobne rešitve rihtamo strankam + žlahti. Vsem so všeč razni WD MyCloud zadeve, ko se pa zaklene je pa hudič. Oz pri WDju je vedno kak backdoor kje odprt =)
https://www.bleepingcomputer.com/news/s...
No tole je pa uporabno!
Hvala!
Grem sedaj probat...
AnotherMe ::
Preko sftpja na zpool, ssh pa naj po vsakem zaprtju ssh sessiona naredi zfs snapshot lokacije. A to znas, a zna to tvoj nas? Ne vem, moj zna.
Gledam po navodilih (qnap TS251), pa ne najdem kako točno bi to naredil.
Se pravi, da je odgovor, da JAZ to ne znam - bi se pa naučil - kak pameten resource? Še bolje kar vodič? :)
Glede izklapljanja elektrike - samo, ce se ti hebe za diskovje.
Sem napisal, da če bi že izklapljal, bi izklaplja samo dodatni vmesni switch - se pravi, da bi nas bil ves čas vklopljen, ampak večino časa pa nedostopen na mreži.
Se mi zdi taka "ziher" in "groba" rešitev in čeprav lahko to brez težav naredim, bi vseno raje imel malo bolj eleganto rešeno ;)
RedDrake ::
Ok, ena "podobna" rešitev tvoji z izklapljanjem switcha, ampak SW only.
NAS daš na nek random IP naslov, ki ni v tvoji mreži, primer:
tvoja mreža je trenutno 192.168.1.0/24 (naslovi od 192.168.1.1 - 192.168.1.254)
NAS nastaviš na 172.16.2.57/30 (subnet mask 255.255.255.252).
Potem pa na W10 mašini narediš skripto, ki:
- najprej naredi sanity check, tako da preveri Checksum par honeypot datotek (recimo imenovanim fiscalReports.xlsx ali kaj podobnega, v mapah C:\Documents, ipd ...)
- če je sanity check OK, na lokalni mrežni kartici naredi nov IP naslov (172.16.2.58 255.255.255.252). To se da tudi z netsh ukazom, ni nujno treba powershella
- izvede backup proceduro
- odstrani IP naslov 172.16.2.58
Done and dusted!
Jasno, še vedno si ranljiv med samo operacijo izvajanja backupa. Inkrementalni backupi ali pa drugi (shadow) NAS sta boljši rešitvi.
NAS daš na nek random IP naslov, ki ni v tvoji mreži, primer:
tvoja mreža je trenutno 192.168.1.0/24 (naslovi od 192.168.1.1 - 192.168.1.254)
NAS nastaviš na 172.16.2.57/30 (subnet mask 255.255.255.252).
Potem pa na W10 mašini narediš skripto, ki:
- najprej naredi sanity check, tako da preveri Checksum par honeypot datotek (recimo imenovanim fiscalReports.xlsx ali kaj podobnega, v mapah C:\Documents, ipd ...)
- če je sanity check OK, na lokalni mrežni kartici naredi nov IP naslov (172.16.2.58 255.255.255.252). To se da tudi z netsh ukazom, ni nujno treba powershella
- izvede backup proceduro
- odstrani IP naslov 172.16.2.58
Done and dusted!
Jasno, še vedno si ranljiv med samo operacijo izvajanja backupa. Inkrementalni backupi ali pa drugi (shadow) NAS sta boljši rešitvi.
misek ::
Večina backup programov dela push backup, torej klient shranjuje podatke na backup strežnik.
Bolj varna varianta je pull backup, kjer se backup sw iz strežnika poveže na klienta in naredi backup. V tem primeru klienti nimajo direknega dostopa do backupa in torej ne morejo povzročiti dodatne škode razen na samem sebi.
Bolj varna varianta je pull backup, kjer se backup sw iz strežnika poveže na klienta in naredi backup. V tem primeru klienti nimajo direknega dostopa do backupa in torej ne morejo povzročiti dodatne škode razen na samem sebi.
AnotherMe ::
Večina backup programov dela push backup, torej klient shranjuje podatke na backup strežnik.
Bolj varna varianta je pull backup, kjer se backup sw iz strežnika poveže na klienta in naredi backup. V tem primeru klienti nimajo direknega dostopa do backupa in torej ne morejo povzročiti dodatne škode razen na samem sebi.
Pa je kje kak pameten vodic kako naredit tak pull backup na qnap nasu?
jukoz ::
Večina backup programov dela push backup, torej klient shranjuje podatke na backup strežnik.
Bolj varna varianta je pull backup, kjer se backup sw iz strežnika poveže na klienta in naredi backup. V tem primeru klienti nimajo direknega dostopa do backupa in torej ne morejo povzročiti dodatne škode razen na samem sebi.
Pa je kje kak pameten vodic kako naredit tak pull backup na qnap nasu?
Sej sem napisal "Podobne rešitve rihtamo strankam + žlahti."
Zdej se pa odloči kaj si =)
Nikonja ::
Mater komplicirate, delaj normalen backup vsak dan, potem enkrat na teden/mesec narediš še "ročni" backup na usb disk ki ga takrat priklopiš. Ja vem, vsakič uštekat in izštekat usb kabel je zaj.. dodatno delo, posebej ko ure in ure sediš zraven računalnika, ampak ej jaz ga tko delam še več kot 10 let (backup na NAS, kopija na cloud, potem vsaka cca 2 meseca še kopija na usb disk) pa sem še živ.
Zgodovina sprememb…
- spremenilo: Nikonja ()
fikus_ ::
Niko, si že moral kdaj reševati podatke?!
Učite se iz preteklosti, živite v sedanjosti in razmišljajte o prihodnosti.
PS Ne odgovarjam trolom in provokatorjem!
PS Ne odgovarjam trolom in provokatorjem!
AnotherMe ::
Večina backup programov dela push backup, torej klient shranjuje podatke na backup strežnik.
Bolj varna varianta je pull backup, kjer se backup sw iz strežnika poveže na klienta in naredi backup. V tem primeru klienti nimajo direknega dostopa do backupa in torej ne morejo povzročiti dodatne škode razen na samem sebi.
Pa je kje kak pameten vodic kako naredit tak pull backup na qnap nasu?
Sej sem napisal "Podobne rešitve rihtamo strankam + žlahti."
Zdej se pa odloči kaj si =)
Hmmm, odvisno... Imaš kako "vredu" sestro? :D
clix ::
Da ne odpiram nove teme:
Kateri SW uporabljate za backup Windows PCjev na NAS?
Moj trenutni backup-flow: Pc-ja se dnevno backupata na NAS.
NAS je Truenas Scale in ta redno izvaja snapshote, ter synca podatke (PCjev in ostale podatke, ki so izključno na NAS) v Backblaze B2. Ker sync lahko tudi briše podatke na B2, je B2 nastavljen, da ob vsakem izbrisu (ali pa spremembi) stari podatki ostanejo na voljo 30 dni. Na ta način, tudi v primeru ransomeware podatki na B2 ostanejo intaktni, tudi če bi mu slučajno ratalo pridobiti dostop do NASa.
Iščem pa še primerno rešitev za Win PC backus na NAS. Za enrat sem probal:
-Windows file history, ampak sedaj iščem alternavito.
-Veeam agent, ki sicer funkcionira OK. Moti pa me, da moraš periodično delati full backupe, po defaultu predlaga 1x na teden. To hitro postane podatkovno potratno. Naj bi sicer podpiral deduplikacijo, ampak očitno ne na tak način.
-Na linuxu sem nekaj časa uporabljal duplicacy v CLI. Delovalo je OK, ampak sedaj iščem nekaj, kar ima GUI. Duplicacy sicer proti plačilu omogoča tudi web gui, ampak ga še nisem testiral.
-Kopia, podobna filozofija duplicacy, ravno tako omogoča deduplication. Ima tudi GUI. Po kratkem testiraju deluje OK, ampak naj bi bil še v beta fazi, tako da nisem prepričan, če mu zaupam vse podatke.
Kaj pa vi kaj uporabljate? Iščem nekaj, ki ima GUI in omogoča deduplikacijo, ter je zanesljivo / že nekaj časa na voljo.
Kateri SW uporabljate za backup Windows PCjev na NAS?
Moj trenutni backup-flow: Pc-ja se dnevno backupata na NAS.
NAS je Truenas Scale in ta redno izvaja snapshote, ter synca podatke (PCjev in ostale podatke, ki so izključno na NAS) v Backblaze B2. Ker sync lahko tudi briše podatke na B2, je B2 nastavljen, da ob vsakem izbrisu (ali pa spremembi) stari podatki ostanejo na voljo 30 dni. Na ta način, tudi v primeru ransomeware podatki na B2 ostanejo intaktni, tudi če bi mu slučajno ratalo pridobiti dostop do NASa.
Iščem pa še primerno rešitev za Win PC backus na NAS. Za enrat sem probal:
-Windows file history, ampak sedaj iščem alternavito.
-Veeam agent, ki sicer funkcionira OK. Moti pa me, da moraš periodično delati full backupe, po defaultu predlaga 1x na teden. To hitro postane podatkovno potratno. Naj bi sicer podpiral deduplikacijo, ampak očitno ne na tak način.
-Na linuxu sem nekaj časa uporabljal duplicacy v CLI. Delovalo je OK, ampak sedaj iščem nekaj, kar ima GUI. Duplicacy sicer proti plačilu omogoča tudi web gui, ampak ga še nisem testiral.
-Kopia, podobna filozofija duplicacy, ravno tako omogoča deduplication. Ima tudi GUI. Po kratkem testiraju deluje OK, ampak naj bi bil še v beta fazi, tako da nisem prepričan, če mu zaupam vse podatke.
Kaj pa vi kaj uporabljate? Iščem nekaj, ki ima GUI in omogoča deduplikacijo, ter je zanesljivo / že nekaj časa na voljo.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | varna povezava na NAS na drugi lokacijiOddelek: Omrežja in internet | 3809 (2836) | Saul Goodman |
| » | NAS in crypto virusiOddelek: Pomoč in nasveti | 5671 (4769) | black ice |
| » | Rešitev za sproten backup 40-ih računalnikovOddelek: Programska oprema | 6003 (4259) | aleksander10 |
| » | Strežnik za mini firmo (strani: 1 2 3 )Oddelek: Kaj kupiti | 17332 (14427) | ta-mau |