ubuntuusers.de

Im Synology Forum bekomme ich leider keine befriedigenden Antworten, deshalb versuche ich es hier. Ich hoffe, das ist ok.

Ich bin gerade dabei einen neuen PC einzurichten und überdenke deshalb das Backup auf meiner Synology DS420+ mit DSM 7.2.2 und 1 Volumen.

Aktuell sichere (push) ich die Daten auf Kubuntu alle 10 Minuten mit rsync (ssh) auf der DiskStation (Telnet, SNMP, SMB und AFP sind deaktiviert). Auf der DS wird jede Stunde eine versionierte Sicherung mit Synology Active Backup for Business (Dateiserver, also Verzeichnisse, nicht Partition/Image) auf dem gleichen Volumen erstellt. Plan ist, einige Verzeichnisse der DS verschlüsselt (und inkrementell) in der Cloud zu sichern.

Ich schätze die Logs von rsync zur Kontrolle sehr aber wäre es nicht besser direkt mit ABfB auf der DS zu sichern? Das würde auch die Wiederherstellung erleichtern.

Und wie sichere ich mein Backup gegen Ransomware? Soweit ich weiss, befallen Verschlüsselungstrojaner alle Geräte im Netzwerk, also auch mein NAS, da es immer läuft und im LAN erreichbar ist. Hilft nur ein Remote Backup ausserhalb meines LANs? Oder hilft auch ein pull Backup vom PC zum NAS?

Ich bin für Meinungen, Erfahrungen und Vorschläge dankbar.

wired2051 schrieb:

Im Synology Forum bekomme ich leider keine befriedigenden Antworten,

Du hast aber gefragt, sprich es gibt einen Thread? Dann gehört zumindest dessen Link hier her.

alle 10 Minuten

Geht's hier um eine Firma, Organisation oder dergleichen? Aller 10 min, das haben wir in einem damaligen Computer-Laden gemacht (und die Kassen sind ständig in Aktion gewesen), kürzer wäre bei dem Netz gar nicht möglich gewesen, hrr (wenn man in diesem miesen KHK mit absolut hornzigem Add-on einer externen "Fachkraft" einen Stern zum Suchen eingegeben hat, ist das gesamte unterdimensionierte Netz lahmgelegt gewesen - die Kassiererinnen haben das gewußt...ich im Service nicht, habe damit 3 Kassen 20 min stillgelegt, Zettel und Stift angesagt 😀).

Will sagen, hast Du ein gesteigertes/übersteigertes Sicherheitsbedürfnis?

Und wie sichere ich mein Backup gegen Ransomware?

Kurz gesagt: Kannst Du nicht.

Ansonsten zumindest für ein besseres Gefühl wechselst Du z.B. wöchentlich die Datenträger (also ein simples NAS genügt da eben nicht), d.h. physisch getrennt. Je mehr Datenträger, desto zeitlich weiter gehen die Backups zurück. Solche Malware schlägt schließlich nicht sofort nach Infektion zu.

wired2051 schrieb:

Und wie sichere ich mein Backup gegen Ransomware?

Backup vom NAS trennen.
Einen 2. PC anschaffen.
Und mit rsnapshot Backup dort ablegen.

von.wert schrieb:

Will sagen, hast Du ein gesteigertes/übersteigertes Sicherheitsbedürfnis?

Eigentlich nicht. Ich dachte mir damals, eine hohe Frequenz bietet zwei Vorteile: bei sofort entdeckten Problemen, ist die Sicherung recht aktuell (in LibreOffice habe ich 1 Minute eingestellt) und das Backup geht schnell (ca. 3 Minuten). Aber auch das könnte ich ja jetzt ändern...

rleofield schrieb:

Backup vom NAS trennen.
Einen 2. PC anschaffen.

Entspricht das nicht dem von mir oben skizzierten Remote Backup in der Cloud? Mit dem Vorteil, dass die Cloud auch eine Explosion oder Überschwemmung meiner Räumlichkeiten übersteht.

rleofield schrieb:

Und mit rsnapshot Backup dort ablegen.

rsnapshot habe ich früher genutzt. ABfB bietet allerdings ein GUI, das die Wiederherstellung sehr erleichtert.

von.wert schrieb:

Je mehr Datenträger, desto zeitlich weiter gehen die Backups zurück. Solche Malware schlägt schließlich nicht sofort nach Infektion zu.

Oha. Also sollte das Remote Backup auch versioniert sein?

wired2051 schrieb:

Und wie sichere ich mein Backup gegen Ransomware?

Für gewöhnlich hält man bereits die Haustür verschlossen und nicht erst die Schranktür im Schlafzimmer. Du hast ein erhöhtes Sicherheitsbedürfniss? Dann ergreife erweiterte Massnahmen die Systemsicherheit zu erhöhen. Dafür geeignete Massnahmen gibt es reichlich:

CIS Level, Lockdown, SafeSetID, TOMOYO, YAMA, Landlock, Aide, volatiles System, usw.

Sicherlich alles mit Konfigurationsaufwand verbunden, wenn es dann aber richtig läuft sind Bedrohungen erstmal wumpe.

Mylin schrieb:

CIS Level, Lockdown, SafeSetID, TOMOYO, YAMA, Landlock, Aide, volatiles System, usw.

Danke für die Stichworte, habe sie notiert. Nach erster Recherche fürchte ich jedoch, dass mich das überfordert.

wired2051 schrieb:

Backup vom NAS trennen.
Einen 2. PC anschaffen.

Entspricht das nicht dem von mir oben skizzierten Remote Backup in der Cloud? Mit dem Vorteil, dass die Cloud auch eine Explosion oder Überschwemmung meiner Räumlichkeiten übersteht.

Der Back-PC darf auf die Daten zugreifen, aber niemand, von woher auch immer, darf auf den Backup-PC zugreifen.
Nur zur Administration hält man sich einen SSH Zugang offen.
Erfüllt eine Cloud das ... ?

Es gibt 3 Regeln, die man immer, ohne Ausnahme in dieser Reihenfolge einhalten sollte:

• sicheres vollautomatisches Backup, nicht erreichbar für den Nutzer

• fit sein auf der Kommandozeile, ist essentiell, weil eine GUI den letzten Punkt nicht erreicht

• und sich ruhig zurück lehnen, weil alles läuft