Ickelokal backup till datorn

Du vill inte ha bara sync: Tänk dig att du får ransomware på din maskin. Vad händer första gången syncen går? Den uppdaterar alla kopior med den ”nya versionen” av dokumenten.

Tricket är att ha en riktig backuptjänst som a) sparar flera versioner av din data, och b) antingen förvarar all data i ett lager som inte kan skrivas över förrän efter en given tid, eller åtminstone hämtar data från din dator istället för att din dator skickar sin data dit: Du vill aldrig att din egen dator ska ha möjlighet att skriva över sina egna backuper.

Hemma har jag löst det med vanliga Time Machine-backuper till en VM som ligger på ett ZFS-filområde. Detta snapshottas en gång om dagen med Sanoid, och någon gång på natten flyttas de senaste ändringarna till en sekundär backupserver med hjälp av Syncoid som hämtar dessa snapshots över SSH.
Får jag malware på min laptop har jag ”så många backuper som får plats på disk”. Får jag en attack mot min timemachineserver har jag 30 dagars historik på hypervisorns filområde. Får jag en attack mot min primära hypervisor har jag 30 dagars snapshots på min sekundära, som i sin tur bara kontaktar min primära men inte själv kan nås från den.

Mitt filmarkiv ligger på en VM med Plex som omfattas av en likadan ZFS snapshot policy som min Time Machine-server. Eftersom snapshots bara beskriver blockvis förändringar på filsystemet jämfört med föregående snapshot är den extra platsen som krävs för flera generationer data minimal, men ja: du måste ha åtminstone lite mer backuputrymme än du har ”produktionsdata”.

För att få till själva ZFS-lagringen kör jag mina lagringsservrar som virtuella maskiner på en server. Själv kör jag vanlig Ubuntu med KVM som hypervisor för de virtuella maskinerna, men det finns också nyckelfärdiga system som hjälper dig komma dit med en wizard; exempelvis Proxmox VE.

Ordna extern disk, skapa krypterad volym, avkryptera och kopiera över allt, avmontera i VC. Flytta till någon annan. Klart.
Jag har min filserver hemma med backuper utspridda på 3 diskar hemma och 3 på jobbet.

Jo, det är definitivt lite mer än ett helgprojekt om man inte har pysslat med sånt förr, men det är kunskaper som ser bra ut på ett CV. 😁

Molntjänst är att ha sin data på någon annans dator och man har inte kontrollen att den ligger kvar där, alltid är åtkomlig och inte blir blockad av ofta väldigt grumliga orsaker som "otillåten aktivitet" och stängd konto som somliga stora kända drakar har kört med och det är 0.0000% chans att få tillbaka sin data, samt att ingen snokar i dem... - men visst, man kan kapsla in sin data till 'värdelös form' mha. kryptering så är den inte längre värd att snoka i - dock inte med molntjänstens egna klient utan 3'-parts program (helst med öppen källkod) där allt är krypterat och klart innan det lämnar datorn och du själv hanterar hela nyckelkedjan.

Är det amerikanska företag bakom lagringen så finns det alltid bakvägar om det är deras egna klienter som används även om de är krypterande - inte för att de egentligen vill det utan för att de är tvingade till detta av NSA och amerikanska regeringen (FISA-lagen som amerikanska regeringen så bekvämt skrev åt sig själva och går direkt i krock med GDPR).

"...men de flesta har ju en hel del funktionalitet som underlättar saker och så. Som att de sparar flera versioner bakåt av alla, eller vissa, filtyper, då kan man återställa saker även efter man synkat sina krypterade filer efter en ransomware-attack exempelvis."

Detta måste man kolla med sin molntjänst att det finns någon sådan stöd och att det är tydligt med det, vilka filtyper det berör (om det selekterar alls) och hur länge det sparas. Står det inget om detta så finns det inte, typ!.

Och sedan skall man alltid prova det innan riktig incident - kort sagt simulera en angrepp och går det att få tillbaka versionerna innan något så när smidigt (förutom hanteringen så är också hur fort du kan få tillbaka datat och att det inte tar veckor att ladda tillbaka alltihop - samt kostnaden för detta då det ofta är en extra kostnad att hämta tillbaka data gentemot att sända upp datat). - med andra upp till bevis innan man kan räkna med som fungerande katastrofbackup i efterspelet av en ransomware-angrepp.

Titta man på många molnlagringsstjänster så är extra utrymmet för äldre generationer något man får oftast betala för som upptagen diskplats tills det verkligen försvinner.

Nu finns det i och för sig också paketpris för en dator och 'obegränsat' utrymme för datorns anslutna fysiska enheter (dvs nätverks-enheter kan inte göras någon backup på), men där är retension-tiden bara 30 dagar för en viss leverantör - så har man 5-veckor semester och angreppet kom dagen innan och du inte upptäckte förrän efter semestern, så...

---

Slutligen en modern NAS med BTRFS som filsystem så kan den själv göra dolda read-only snapshot av utdelade volymer (se till att aktivera den om det inte är redan gjort, default är det tyvärr ej aktiverat) och man kan backa/välja dagar ett antal dagar bakåt till hur det såg ut just den dagen och tanka ut allt som finns för just den dagen om man så vill.

och med en RPI4 med en USB-disk som lågpris-NAS - en image av tex. ubuntu för RPI så är det ingen hinder att lägga BTRFS på USB-lagringsdisken och installera snapper för bakgrund-snapshot i det fördolda och att man sätter upp en samba-server för utdelade mappar (som blir nätverks-enheter i windows)

Vill man emulera S3-molntjänster själv på egen dator/server så ha Minio numera stöd för generationer och rentension-tid för skrivna filer.