Доброго времени суток! Хочу настроить хранение бэкапов на отдельной машине. Сейчас они хранятся на сервере и это не есть хорошо. Хочу хранить где то в отдельном от сервера месте, хорошо бы отдельном от офиса на случай пожаров обэпов и пр херни которая может испортить наxpен всю технику в офисе. Проверка делающихся бэкапов происходит регулярно(восстанавливаю для работы в тестовой базе). Поэтому беспокоят только два момента:
1. Выход из строя всей техники. Бэкапы должны быть за пределами офиса.
2. Напасть какого нибудь шифровальщика. Я на сервере один, ничего туда не качаю\запускаю подозрительного. Но страховка нужна.

В целом можно взять какое нибудь маил ру или что то типа того с большим количеством места и синхронизировать бэкапы штатными средствами. Но если случится какая нибудь беда с архивами(шифровальщик или еще что то) то испорченные архивы будут синхронизированы и в облаке. Нужно, что то, что будет забирать новые архивы и загружать их к себе, удаляя старые. То есть прямой связи быть не должно. Вопрос: как это реализовано у вас?

(0) Интересно, а в отдельном от офиса месте разве пожар не может произойти или землетрясение. Тогда уж на внешний диск скидывать и с собой его всегда носить

(1) Если у вас один бэкап, значит у вас нет бэкапа.

(2)У нас и облачные базы, в Иркутской области вышел такой закон для бюджетников, бэкапами занимается ИТЦ и МИАЦ

(3) Ну сделай не в облаке, а в другом офисе вообще зеркальный сервер

(0) У дропбокс версии файлов хранятся 30 дней.
Это защищает от шифровальщика и прочей ненасти.

+(5) Насчет git в других облаках не знаю

Бэкап должен быть многоуровневый. У меня так: В течение дня - бэкап журнала транзакций sql каждые полчаса. Ночью и в полдень - бэкап базы на другой сервер с ротацией последних n копий, а также копирование бэкапов на сервер хранилища данных, находящийся в другом помещении на другом этаже (а лучше в другом здании). Раз в месяц - запись актуальных копий на dvd-r, и передача их главбуху на хранение в сейф.

Как облако может защитить от шифровальщиков? Никак. Файл с локального компа идёт где и живут шифровальщики. Прорабатывай правила минимизации угроз внутри сети

(8) Верно, если шифровальщик завелся, то файл и в облаке уже будет с ним или данные уже будут шифрованные. Тут нужен комплексный подход.
Выдрать у всех сидюки, USB всем закрыть, WiFi и BT тоже закрыть, поставить глушилку ЭМИ, контроль инета, закрыть всем, оставить только себе и диру. )))
(0) Только до абсурда и паранойи не доходи. ))

(0)так не синхронизируй в облако, а добавляй в него только новое, то есть перезаписывать предыдущее не нужно

(9)шифрованными будут новые бэкапы, или шифровальщик доберется и до предыдущих бэкапов в облаке?

(11) А это смотря как писать в облако. Если через утилиту синхронизации каталога с облаком - то кирдык. Если просто записывать архив с новым именем - то нормально. Правда, мало какие сервисы дают доступ по ftp, в основном webdav той или иной степени кривости.

(11) если в облаке будут тупые файловые архивы то не добрется.

Хочу напомнить, что угроза шифровальщиков сводится на нет одной простой мерой: нужно писать бэкапы под отдельным пользователем, специально для этого заведенным и используемым только для этого. У всех остальных пользователей к папке бэкапов должны быть права только на чтение.

(14) Если шифровальщик запустится от имени администратора или системы - он сможет поменять права на какие угодно. То, что пока таких шифровальщиков нет, не значит что завтра они не появятся..

(15) тоже верно

(14) Это аксиома не требующая доказательства.
(15) ну это хоть какая то будет защита.
а вообще если (0) так уж надо то
надо бы уж тогда почитать курс по защите информации от утечки по техническим каналам.

(0) Как один из возможных вариантов на время архивации подключать облако в качестве диска по тому же протоколу WebDAV (но его не все облака поддерживают) и пихать этот диск в качестве дополнительной папки для резервного копирования в программу архивации. Но в этом случае облако будет доступно на время архивации как локальный диск в том числе и для шифровальщиков.

(0) в идеале нужна программа архивации, поддерживающая прямое подключение различных облаков в качестве дополнительных папок резервного копирования (тут будет и защита от шифровальщиков, так как туда будут копироваться только новые архивы и чистка старых)

+(19)такие программы существуют?

Подробно не изучал предмет, но навскидку effector saver поддерживает ftp, cobian тоже вроде ftp поддерживает.

Если нужны именно облака то могу вспомнить только handybackup.

(19) (20) handy backup вот она умеет в облако кидать, как раз под это дело и искал, 800 руб вроде стоит домашняя версия - копейки, буду брать под бэкап файловой после как потестю.

там 30 +- дней бесплатный тестовый период.

т.е. типа кобиан бэкапа тока плюс облако есть

(4)Держать целый сервер под бэкапы? Неэффективно. Не спасает от шифровальщиков.

(5)У дропбокса в стоке мало места. Что то там в районе чуть более двух гигов после выполнения всех "заданий". Это мало для бэкапов.

(8)Очень просто. Пришел шифровальщик и зашифровал все базы. В это время единственное что может плохого сделать скрипт или программа вывода файлов в облако - это добавить зашифрованный архив. Все остальные там будут норм. Но если это штатная синхронизация от какого нить майла или яндекса. То да. В облаке тоже будут зашифрованные копии. Такой вариант мне не подходит. Поэтому, эта ветка здесь.

(10)Как? И какое облако предлагаешь?

(14)Есть и другие меры. С этим все понятно. Вопрос в другом.

(17)Почитать по специальности всегда полезно. Вопрос таки был конкретный.

(18)Да. В этом проблема, нужно, что то, что подключается авторизуется, делает свое черное дело(выгружает бэкапы), отключается.

(19)Да, думаю, это уже по любому настроено и работает у кого нибудь. Вот и спрашиваю.

(0) поднял шару на убунте, авторизация+выгрузка на питоне написал. Всё пучком.

(24)Шара на убунте это отдельный комп? vps? что это? использовал самбу или фтп? А где скрипты?

хочется удаленно, ставь в датацентре/дома/у соседа, вариантов дофига.

(25) фтп дырявая лажа(тем более если торчать в инэт будет), конечно самба.
ессно отдельный комп, с парочкой 4-ч терабайтов.

(25) скрипты чисто для себя )) стыдно такое показывать

Почитай про торренты и договорись с такими же админами о совместном хранении шифрованных бэкапов.
Это если хочется сильно-сильно недорого и офигенные объемы.

Если есть денежка то несколько облачных хранилищ или даже лучше VPS хостингов и разворачиваешь что угодно.
Простейше это когда от себя льеш в одно облако, затем оттуда оно копируется в другое но не сразу, есть время обнаружить что шифровальщик поработал и в первом облаке архив уже на выкид.

(29)+ Кста поищи может уже есть такой сервис удобного "совместного хранения" бэкапов ну или свой замути, дарю идею.

Пишешь софт который по сути торрент клиент внутри с автоматическим управлением по командам сервера и некий сервер торрент трекера.
Админ ставит у себя прогу клиента, назначает скоко максимум можно объема диска занимать чужими бэкапами и профит.

Скинул нечто в некую папку - оно автоматом зашифровалось и улетело по чужим серверам на хранение, в ответ те чужое шифрованное прилетело.

(8) шифровальщик не запустится в облаке даже, если он туда попадет. Всё, что лежит в облаке, шифровальщик не зашифрует. Другое дело, если поверх лежащего в облаке незашифрованного какой-нить таплаоп запишет то же самое зашифрованное. Но это надо быть талпаоопом, чтобы даже задумываться о возможности записать что-то поверх уже записанного бэкапа

(31) Он подразумевал что синхронизация с облаком просиходит через их родные клиенты, которые чисто каталог целиком синхронят при изменениях.

Вот лежат типа у него бэкапы за все дни в каталоге, прибежал шифровальщик зашифровал их и родной облачный клиент "отправил изменения в облако" :)

ЗЫ Нуна искать облако минимум с webdav

(27)В каком месте фтп дырявая лажа? Отдельный комп под бэкапы как то черезчур нет?

(32)Ну да, типа YandexDisk

(32) нормально делать надо и нормально будет.

(33) отдельный комп под бэкапы - это нормально. Только там должно быть зеркалирование. И он не исключает сабжа, если уж ты за надежность взялся на все деньги

(33) прикинь тебе завтра яндекс напишет - у нас был сбой и все такое, сорри :)
вероятность такого выкрутаса наверное очень мала, но она есть :)

(30)Ага а потом навернулись данные, а там где у тебя бэкап, нет интернета, админ винду переставил или еще чего нибудь. Или просто очень медленный канал на исходящий поток.

(33)С дури можно и xep сломать, если уж вопрос в деньгах не стоит, то сделать можно вообще все, что угодно. Вплоть до своей машины в датацентре с терабайтом на борту. Нужно как то разумнее все.

(35)Вероятность, того, что у меня будет пожар\потоп именно в этот день, настолько ничтожно мала, что можно ей пренебречь.

(27) фтп дырявая лажа? (чуть под стол не упал)...протокол простой как валенок, работает даже не кофемолке.. в варианте с шифрованием вообще идеал

А вот самба,...страшнее этого ада и кошмара работающего через RPC наверное только DFS виндовая...

в плюс самбе записать можно только то что оно реально работает, но в том случае если не требовать от него больше чем тупо копирование файлов по известным месторасположениям и только в винде

(38) Самба нормально работает только если сеть с короткими пингами, этот протокол не для интернета. Вебдав хорошая в теории вещь, но на практике он везде крив по своему.

(0) А что мешает завести Сетевой NAS (коих сейчас полно на любой "карман") настроить raid  и т.д.
Шифровальщик обычно проходится по расширению, редко все подряд шифрует. Ну задайте своим файлом какой нить редкое расширение или как пример скриптом на выходе меняете расширение и в хранилище.

(39)У меня на ЯД вебдав бэкапится wiki-1c вроде без сбоев, все хорошо. 10 гигов маловато конечно, что бы бекапы базы там держать.