*Backup-Planspiel: Linux, NetWare, Sicherungssysteme

cumulonimbus8

Fleet Admiral
Registriert
Apr. 2012
Beiträge
18.346
Moin!

Es geistern Ideen herum und ich soll rausfinden ob das machbar und auch sinnvoll. ist.
Da sein ein Novell-Server. Der soll systematisch gesichert werden. Das soll auf ein LINUX-System (ich wüsste nicht warum auch das ein Server sein sollte) geschehen.

Weiter geistert die Planung herum, dass Linux gegen Viren & Co unempfindlich ist. Man könnte (da wäre dann diese Server-Idee) ja von WIN-Rechnern aus den Novell-Server auf den LINUX Server sichern, der über ein «Schutzpaket» (m.E. nach Virenschild) verfügt und damit ›angefaulte Dateien‹ abwehrt. Also ein LINUX-Schild gegen WIN-Viren. (Davon ab, wenn das Sichern automatisch läuft, müsste ich wohl auch automatisch quarantänisieren, und wie bekomme ich die Info, dass das passierte?)
Schlüssig scheint mir das nicht.

Logischer für mich wäre ein normales LINUX das unmittelbar vom Novell-Server sichern würde (einfaches Skript). Benötigt einen Client für Novell, sollte einfach sein. Und auch der Schild - gibt es so was das hier hilft?
→ Wenn ein Krypto-Trojaner von WIN aus den Novell-Server befällt, so wie der User nun mal lesen und schreiben kann, dann ist das Kind eh im Brunnen, korrekt? Also müsste sich gefälligst WIN selbst schützen?! Und wenn unser Skript Müll sichert (kann ein Scanner so was von anderen proprietären Kodierungen unterscheiden..?) sind wir auch nicht weiter, richtig?

Es soll ein Problem gelöst werden das sich so gar nicht angreifen lässt - oder irre ich da?
Das Betriebssystem des Backupsystems ist im Grunde egal wenn es noch so geschützt nur Müll ablegt?

Gibt es Schutzintelligenz die eine geplante Backupaufgabe (selbst bei mehreren Stufen) ausbremst wenn das zu Sichernde, von mir aus nach Scan zuvor, angegriffen ist und Alarm gibt?
Ach, noch eine Art Sahnehäubchen. Eine Zeitschaltuhr soll einen Hub nur zu bestimmten Zeiten unter Strom setzen damit außerhalb unser Sicherungsrechner nicht mit dem Netz in Kontakt ist. Sichern usf. dauert (wenn ich 200GB sage straft mich der Datenproduktionsfreak Lügen); auch so ein Schild will aktuell bleiben. Kann so ein Abnabeln realistisch kurz sein? Ich müsste evtl. differentiell sichern (also nur Geändertes und Zusätzliches) - vermutlich kann das eine Software für LINUX die nicht gerade einen Funktionsoverkill anbietet.

Ist so ein Plan realistisch - oder scheitert alles an den Schwachstellne WIN-User und Zeit?

CN8
 
Jedes OS ist anfällig, die Vermutung das Linux da unempfindlich ist, ist eine Legende.

Meiner Meinung und Erfahrung nach musst Du das Backup schlicht so planen das Du erstmal immer auf ein sauberes Fullbackup zurückgreifen kannst, sprich ein sauberes Backup von vor einer möglichen Infektion. Alles andere ist schwer oder garnicht umsetzbar.

Zu einer Backupstrategie gehört halt auch immer ein Desaster Recovery Plan, sonst kann ein Backup auch mal vollkommen sinnfrei werden weil es halt infizierte Daten sichert.

MfG
 
Sowas würde ich mit einem ZFS basierenden Storage incl. Snapshots lösen.

cumulonimbus8 schrieb:
Das Betriebssystem des Backupsystems ist im Grunde egal wenn es noch so geschützt nur Müll ablegt?

Jein, wichtig ist das die Backups nicht über den gleichen Mechanismus wie die Originaldaten angreifbar ist. Da ist ein anderes Betriebssystem schon sinnvoll. Zusätzlich bringen Snapshots Daten vor Veränderung in Sicherheit. Und das Backup sollte nach Möglichkeit per Client Server und nicht per Freigabe funktionieren.

Und schaltbare Hubs sind eher sinnlos. Erstens wenn überhaupt ein Switch aber dann sollte man eher eine Firewall zwischen schalten und die sauber parametrieren.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: madmax2010
Eben gelesen, aber knapp mit Zeit. Sorry.
CN8

Tags drauf, gegen Mittag begonnen…
Jedes OS ist anfällig, die Vermutung das Linux da unempfindlich ist, ist eine Legende.
Was leider meine Probleme nicht verbessert. Aber mir war das schon irgendwie klar.
Wenn aber nicht WIN sichert, Zugriff hat, sondern LINUX wäre schon mal das Gros erledigt. Außer alles wurde unter WIN schon angeknabbert. Unten weiter.

sprich ein sauberes Backup von vor einer möglichen Infektion
:D »Nichts ist so alt wie die Zeitung von gestern!« Was zu sichern ist, is auf der eine Seite durchaus antiquarisch, auf der anderen Seite »brummt der Bienenstock«.
Eine gewisse Alterung schwebt mir vor, und die will gepfelgt, ersetzt, oder abgelegt sein (alles eine Platzfrage - wo unfassbare 80GB + Kompression viel waren wird das nun ›mit 7-Meilen-Steifeln aufgefuttert‹; und das will eben auch abgelegt sein).

Zu einer Backupstrategie gehört halt auch immer ein Desaster Recovery Plan, sonst kann ein Backup auch mal vollkommen sinnfrei werden weil es halt infizierte Daten sichert.
👍 Meine Rede. Wenn das Desaster aber ist, dass natürlich abgetrennte Laufwerke verwendet werden, der der das aber managt wegen CoViD-19–Beschränkungen nicht kann {praktische gründe, nicht Erkrankung}, dann ist das mehr als dumm.
Und eben diesen Missstand will ich in den Griff kriegen. Mit Tricks wie dem kaltgestellten Hub z.B. Hier soll auch der User vor Ort greifen dem der Unfall auffällt [muss nicht mal bei ihm passiert sei] und der wenn nicht wörtlich den Stecker zieht um die Sicherung zu sichern und zurückzuspielen nachdem ›durchgefegt‹ wurde.


-?- Das von Sun? Na, damit brauche ich nicht zu kommen ›weils Geld kostet‹… Und ich traue auch diesen automatischen Sicherungsmechanismen dieser Couleur nicht. OK, Novell kann Dateien zurückholen. Aber das hilft nicht. Ein Vollbackup, getrennt, kontrolliert - das solls sein.

Zusätzlich bringen Snapshots Daten vor Veränderung in Sicherheit.
Dem traue ich nicht recht. Weil etwas da was für mich macht und nicht nicht etwas kontrolliert auslöse.
Eine Bequemlichkeitslösung buche ich instinktiv nicht unter Backup.

Und schaltbare Hubs sind eher sinnlos. Erstens wenn überhaupt ein Switch aber dann sollte man eher eine Firewall zwischen schalten und die sauber parametrieren.
Damit kann ich mich absolut nicht anfreunden!
• Eine Hub(chen) ohne Strom ≡ gezogenes Netzwekkabel ≡ kein Datenfluss.
• Was also soll das ein Switch besser können? → Ich hatte oben schon Abgezogene Laufwerke erwähnt. Die Utopie ist ein Relais [Prinzip] das Rechner B schaltet (den wiederum ich fernsteuere) um einen Rechner A mit einem USB-LW zu verbinden damit A dann sichert. A darf sich nicht das LE ankoppeln, logisch. Vollautomatisch muss das eine Uhr tun, und die externe Platte mag ein NAS oder LINUX-System sein, womit sich das Abnabeln eines Netzerkkabels anböte.
• Wessen Firewall und wo? Und die hat eine Zeit-Steuerung Schleusen (Ports…) zu öffnen oder nicht? Von so was hörte ich noch nie, wäre aber lernfähig wenn unser LINUX-System sich so von LAN trennt bzw. damit verbindet.


Nochmals
Das Backup - unabhängig von seiner Strategie - soll taktisch nicht vom Restsystem erreichbar sein. Womit ein geschützter (4en…) Rechner das Backup managt der ebenso nicht erreichbar ist.
Das mit dem Hub entsprang Backup - Hub - Rechner - Server, wobei der Rechner den Server aufs Backup sichert. Besser sollte sein Backup - Netz: - Server - Rechner womit das autarke Backupsystem nur sichert aber sonst nicht da ist.
Nun greift der Faktor Zeit nach dem ein Rechner der den Server versaut gestoppt wird um dann das Backup zu bemühen.

CN8
 
Zuletzt bearbeitet:
cumulonimbus8 schrieb:
Das von Sun? Na, damit brauche ich nicht zu kommen ›weils Geld kostet‹…

Dummfug ,zfs ist ein Filesystem. Das kostet so viel oder so wenig wie ntfs. Schau dir mal freenas an.
Ich denke mal das beste wird für euch sein wenn ihr euch an ein kompetentes Systemhaus mit euren Anforderungen wendet. Gerade wenn nicht mal der Unterschied zwischen Hub und Switch bekannt ist, denke ich wäre das besser.
Wobei Hub's bekommt man im Prinzip eh nicht mehr.

Und gerade zfs würde deine Anforderungen erfüllen. Backup, Snapshut und damit sind die Daten vorm Überscheiben gesichert. Das was ihr da vorhabt ist eher sinnlos komplex als das es wirklich die Datensicherheit erhöht. Da kann euch ein Systemhaus denke ich mal eine sinnvollere Lösung anbieten.

cumulonimbus8 schrieb:
Wessen Firewall und wo? Und die hat eine Zeit-Steuerung Schleusen (Ports…) zu öffnen oder nicht? Von so was hörte ich noch nie

Sicher kann man durchaus auch zeitbasierende Firewallregeln einrichten. ZB. bei einer pfsense legst du unter Firewall -> Schedules Zeitbereiche fest und kannst die dann unter den Filewall Rules nutzen.
Bei Mikrotik kannst du es direkt in den Firewall Rules eingeben:
mt.jpg
 
Zuletzt bearbeitet:
cumulonimbus8 schrieb:
Nennt sich Cron(job) unter Linux oder Task Scheduler bei MS... Dann konfigurierst so zu gewünschten Uhrzeiten die lokale Firewall des Servers (Port auf um Uhrzeit X, Port zu um Uhrzeit Y).

Alternativ und sofern der Backup-Server über ein IPMI-fähiges Interface hat oder haben soll ggf. darauf achten, dass dieses auch mit dem IPMI-Nachfolger Redfish kompatibel ist. Dann kannst automatisiert über dessen API das System hoch- und herunterfahren lassen.
cumulonimbus8 schrieb:
ich traue auch diesen automatischen Sicherungsmechanismen dieser Couleur nicht
cumulonimbus8 schrieb:
Dem traue ich nicht recht. Weil etwas da was für mich macht und nicht nicht etwas kontrolliert auslöse.
Eine Bequemlichkeitslösung buche ich instinktiv nicht unter Backup.
Dein Ver- oder Misstrauen ist auf Fakten basiert oder Glaube? Falls letzteres: Der gehört in $hier-beliebige-Kirche/Sekte/Glaubensrichtung-einfügen.

Verrate das bitte bloß nicht den ganzen Firmen, die ZFS in ihren Produkten einsetzen (https://openzfs.org/wiki/Companies) oder den verschiedenen Unis, die ihre Forschungsdaten darauf ablegen (erstbestes beliebiges Beispiel) oder den unzähligen Unternehmen, die ZFS einfach so auf ihren Servern verwenden, nicht zu vergessen Canonical als Schirmherr von Ubuntu, die ZFS forcieren und daran mitarbeiten. Ja, ZFS ist nicht die Eierlegende Wollmilchsau und hat seine Tücken die zu beachten sind bei der Einrichtung aber welches Dateisystem hat das nicht?

Hinzu kommt, dass da nix per zauberhafter Einhorn-Pups-Magie passiert sondern dir wird ein mächtiger Werkzeugkasten gegeben der u.a. Dinge wie Snapshots, deren Export, Import und Replikation etc beherrscht. Ob und wie du diesen am Ende nutzt bleibt dir überlassen.

Wenn es dir vor allem um die Konzeption geht (was immer der erste Schritt sein sollte) dann schau dir die entsprechenden BSI Bausteine an. Ist zumindest ein guter Anfang zum dran entlang hangeln und wenn das steht wird geschaut wie man dieses Konzept am besten technisch umsetzen kann und was dafür an Hardware und Software benötigt wird.
 
  • Gefällt mir
Reaktionen: BFF
Zurück
Oben