"Best Practice" för off-site backup|Synology

Dns skulle jag löst med att köra synologys gratis tjänst sen sätta ett cname på remote.domain.com till synologys. Mindre saker som kan gå sönder.

Om du sällan tappar sitt publika ip skulle jag satt brandvägsregel på att bara det ip numret fick komma åt synologyn. Om du har en plus modell så se till att köra btrfs och snapshots. Och om det inte är uppenbart ha unika lösenord på den burken. Dels för webadmin men även användarna på den. Du bör ha ett separat webadmin konto och sen användarkonton

När du väljer slumpmässiga portar (eller generellt behöver slumpmässiga tal) till ssh använd tex random.org människor är dåliga på att hitta på slumptal.

Använd för all del ssh nycklar, det är som du säger bättre. Jag ville bara understryka att köra med olika användare för olika syften. Du kan så klart även köra ett vpn, men det är inte alltid det ger så mycket mer. Om man kan låsa ner source ip och bara tillåter ssh nycklar så ger vpn inte direkt så mycket mer.

Poängen med snapshots på filsystemet är att skydda mot ransomeware. Då kan man inte plocka bort eller manipulera data som användaren som skickat backup datan. Om din unraid server blir infekterad så har den rättigheter att förstöra denna backup.

Eftersom denna står hos dina föräldrar (som jag antar du litar på) skulle jag överväga att synologyn loggar in på din unraid och tar backup istället. Nackdelen är ju att om nån kommer år den så kommer de åt din unraid. Men där kan du köra snapshots iaf.

Om du har en öppen SSH server hemma, så kan du ha fjärrdatorn göra en reverse tunnel hem till dig, med t.ex. autossh - https://www.everythingcli.org/ssh-tunnelling-for-fun-and-prof...

Kanske går att kombinera med portknocking också https://de.gratuitchat.com/739724-is-it-possible-to-use-PYDMG... ifall man inte vill ha en helt vidöppen SSH server igång.

WORM är inte riktigt nått du kan lösa med denna setup som jag förstår det. Du måste ge användaren tillgång att skriva filer och uppdatera dina backup filer.

Jag tänkte att du kan köra Duplicity på din synology istället, men det beror på modell så klart.

Det man sett i enterprise är att ransomware senaste tiden väntar för att kunna identifiera och förstöra all form av backup de hittar. Hittills har jag inte hört att detta har kommit till konsument nivå ännu men det är väl bara en tidsfråga. En zeroday på nån av alla de komponenter i linux som unraid använder som ger root kan göra att allt din unraid har tillgång till har även en anfallare. Man kan argumentera att detta är orimligt, ända tills det händer. Folk tyckte tidigare att det var orimligt med ransomeware till privatpersoner, men nu kan man köpa sånt as a service komplett med betalning och supportlösningar. Nästan samtliga nas tillverkare har vart attackerade på nått sätt senaste åren. Så det är nått man bör ta ställnings till när man bygger sin backuplösning.

Jag utgår alltid från scenariot att nån har fått root på burken, och med det ska de inte kunna ta sig vidare helt till andra system. Men kod måste exekveras, så att ta backup av infekterade filer är inte ett problem. Problemet är om användaren på den infekterade hosten har rättigheter att göra mer saker, tex skriva sönder all backup.

Om synologyn loggar in på din unraid och tar backup så finns det inget på din unraid som har inloggning eller rättigheter att förstöra dina gamla backupfiler. Och om den bara används till detta och inte är nåbar från internet så är det det relativt orimligt att nått annat skit kommer in på den. Men om det händer och den kan kryptera alla dina filer på unraid så är det här snapshots kan rädda dig.

Om du istället från unraid har nätverksaccess och användarinloggning tillgängligt så kan en angripare ta sig till din synology och ha samma rättigheter som din vanliga backup. Vilket då troligen innefattar alla dina gamla backups.

Jag försöker inte skrämma upp dig, men jag kanske har gjort det lite. Att man lyckas ta sig in i ett system handlar om att man har exploits och använder dem i rätt tid. Att lyckas ta sig in i flera system under samma tidsrymd är inte lika sannolikt. Tex om nån kommer åt din synology och får root på den är det inte självklart att de kan göra samma sak på din unraid under samma tid som folk inte updaterat sina system. Men att spara det mest viktiga även på usb disk om inte är ansluten är inte heller en helt dum ide.

För att ge lite perspektiv hur jag själv kör privat. Har en offsite backup på landet, där jag anser att den fysiska säkerheten är låg. Den består av en linux med usb disk. Backupen skickas dit och krypteras med nyckel som finns på min nas. Detta pga att jag anser att det är relativt enkelt att nån snor min usb disk. Inte för att inbrott är vanligt där, men det är enkelt med tanke på att det ofta inte är någon där. Så om nån snor disken så är den krypterad och innehåller inget som går att komma åt min nas med. För att skydda mot ransomware så kör jag btrfs och tar snapshots varje dag. Vilket min användare på nasen inte har kontroll över. Nätverksaccessen sker med rsync över ssh via internet med brandväggsregel på min ip adress från nasen. Jag skulle kunna lägga på ett vpn men prestandan vart usel då jag tidigare körde en raspberry pi så den har stannat kvar på denna lösning. USB disken är inte redundant men det är bättre att ha en backup än att ha en redundant backup. Jag har även fler backuper men denna är den som står geografiskt längst från min nas. Byter även utrymme med en kompis där vi lagrar vår backup på varandras nas.

Om man är ute efter WORM-lösning som är 99.9999% säker mot ransomware även om värd-OS blir angripet så är det att bränna ut datat på optisk media (DVD+/-R, Bluray etc.) - det finns/fanns en del bandprodukter och även hårddiskbaserade 'band'-produkter med worm-verkan där chip och firmware bara medger skrivning en gång och det går inte att skriva över eller radera när det väl är skrivet - det finns vissa behov hos banker och finansinstitut som har sådana krav för tex. loggning av transaktioner och spårbarhet, med hashvärden kopplad till mediat för att märka om datat är manipulerat eller ligger på en kopia etc. prislappen för dessa är inte inom konsumentnivå... ja förutom att gå på DVD-R och bluray...

annars är lösningen att förutom NAS och backup på NAS att då och då göra en backup av NAS till en lagring som är förvarad offline det mesta av tiden och kräver handgrepp för att kopplas in (dvs koppla in en extern USB-disk med USB-sladd och väggvårta och när backuppen är klar att koppla ur igen och lägga undan den externa lagringen).

Alla automatiserade "underhållsfria" online-backupper - oavsett hur finurliga de är - har alltid en viss risk att 'övertas' av en virus hur man än vrider och vänder på det och då är en inte allt för lastgammal 'cold storage' det som räddar det hela om en ransomware plötsligt 'äger' OS i backup-enheterns och hunnit med att kryptera upp alla filer.

---

'pull'-backupp är bättre än 'push'-backup då det i första fallet med 'pull'-backup så har klientdatorn ingen aning om var backupperna tar vägen och kanske inte ens vet om att backupper tas mer än liten daemon som snurrar i OS:t och heller ingen möjlighet att logga in på backupdatorn då den inte har vare sig inloggningsuppgifter och kreditiv för att logga in i backupdatorn medans med en push-backup så har man loggat in i backupdatorn med sina kreditiv och då är man redan med 'halvan inne' och ransomware har också teoretiskt möjlig tillgång till kreditiv även för framtiden för att tex. radera uppladdade filer senare - medans med 'pull'-backupp finns inte den informationen.

windows har faktiskt möjlighet till 'pull' backup utifrån utan att installera program då den har en SSH-daemon redan installerad men är inte aktiverad. det finns beskrivningar i hur den skall aktiveras hos MS själva, var man skall lägga in sina publika nycklar (för att komma åt datorn utifrån) etc. och sedan kan man hämta filer med SCP och SFTP uteifrån utan att windows har en aning om hur man skall komma åt klient-datorn som hämtar filerna då det finns ingen inloggningsväg där.

men för enklare och smartare backupförfarande så bör man dock installera 'rsync' i windows då den är den stora arbetshästen utanför windows-världen när det gäller att spegla och synka mappträn mot varandra med så lite onödig dataflytt som möjligt.

Jag har aldrig använt duplicity mer än till test. Så vet inte om du kan få till detta på Synologyn. Tyvärr kan jag nog inte vara till mer hjälp när det kommer till detaljerna. Men om du redan har en vpn setup så kör vidare på den men se till att låsa ner nätverkaccessen just in case.

När du är klar med allt få du gärna återkoppla hur det blev och om du är nöjd med setupen.

Duplicity är inte någon deduplicerande backup-progran utan en förpackning enligt TAR-filsosofin med en huvudbackup och sedan inkrementfiler med lite extra tillägg (som kryptering) - ett råd med backup enligt TAR-filsosofin med huvudbackupper och därefter inkrementfiler - ha aldrig mer än 30 st inkrement per huvudbackup - varför märker du den dagen du behöver återställa den 29' backupsessionen huvudbackuppen och alla inkrement-filer måste läsas in en efter en (och modifiera de återställda filträdet), vilket kan ta mycket tid.

För deduplicerande backupprogram se borg-backup, restic, duplicacy (dock kommersiell), duplicati (främst för windows) och alla utom borg-backup har också API för ett flertal olika molnlagringstjänster direkt.

Borgbackup fungerar bara via SSH förutom på lokal lagring och mappade nätverksenheter och skall man lagra mot molntjänst så får man ta hjälp av 'rclone' som förmedlare.

Det finns ett stycke om pull-backup hos borg-backups hemsida:

https://borgbackup.readthedocs.io/en/stable/deployment/pull-b...

- kanske något som är användbart för dig...

ju mer man provat att administrera via SSH - ju mer föredrar man den typen av lösningar inklusive via SSH exporterade X11-program som snurrar i realtid på den egna desktopen och inte via någon RDP som kackar sönder grafiken och sölar sönder uppdateringshastigheten...