Roast my backup strategy!

[[AlphaRC]Eraser]

Servus!

Ich werde demnächst meine NAS Platform aktualisieren und bei dieser Gelegenheit meine Backup Strategie verbessern. Ich wäre euch sehr dankbar wenn ihr diese challenged und ggf Verbesserungsvorschläge geben könntet.

Status quo:

• Lokales Ubuntu NAS mit 4x3,5” SATA ZRaid1 voll verschlüsselt
• Sicherung erfolgt manuell sporadisch auf eine ext. Festplatte (2,5” 1TB) mit Veracrypt verschlüsselt

Geplant:

• Migration NAS auf Unraid oder TrueNAS Core/scale (dazu mache ich noch nen eigenen thread)
• 1x NVME als OS & Readcache
• ca. 3-4 neue HDDs im zraid1 vollverschluesselt

1. Lokales Backup (Sicherung vor Hardware Ausfall & malware)

• einer der alten 3,5 3TB HDDs in nem ext. case direkt am NAS; voll verschlüsselt
• das ext. Case ist normalerweise Stromlos und wird entweder manuell oder via smarter Steckdose 1-2x im Monat aktiviert
• idealerweise automatischer Start des Backups sobald die Platte erkannt wird
• alternativ könnte ich mir auch vorstellen ne Art ext. Dock zu nutzen und mehrere HDDs durchzutauschen. Allerdings übersteigt aus meiner Sicht der Aufwand den Nutzen.

2. Remote Backup (Sicherung gegen elementar Schäden)

• einer der alten 3,5 3TB HDDs in nem ext. case am USB Port der FRITZ!Box bei meinen Eltern
• die Platte wird dann entweder durchlaufen oder ggf. In den Ruhezustand geschickt und aufgewacht falls der Backup task anläuft (sofern das möglich ist)
• voll automatisiert auch 1-2x im monat; zeitversetzt zum lokalen Backup
• meine Eltern haben eine DSL100 Leitung welche natürlich etwas knapp ist. Allerdings hoffe ich, dass ich den Backup Job über Nacht fahren kann bzw. will schauen ob ich den speed ggf. drosseln kann, sodass ich nicht die gesamte Bandbreite belege. Für die inkrementellen Backups sollte das aber gar nicht so relevant sein.

Backup Umfang:

• idealerweise sollte neben dem OS auch relevante Konfigurationen & Datenbanken zB von Nextcloud und anderen Plugins gesichert werden. Zusätzlich noch die relevanten Ordner auf dem NAS (Bilder, Ablage etc) sodass im Fall der Fälle ohne großen Aufwand das NAS wiederhergestellt werden kann
• die Backups sollten voll verschlüsselt sein
• ein mix aus Full und inkrementellen Backups/ snapshots
• aktuell nutze ich 1TB Laufwerke für die Sicherung welche an ihre Grenzen kommen. Mit den 3TB sollte es in naher Zukunft keine Platzprobleme geben

Fragen:
1. Ist mir ein relevantes Risiko durch die Lappen gegangen? Sprich, passt die Strategie?
2. Sowohl die Lokale als auch Remote Sicherung sollten soweit möglich automatisiert durchlaufen. Wird das nativ von truenas/unraid unterstützt oder muss ich selbst frickeln? Z.B maintenance mode bei Nextcloud mit eigenem Script starten etc.
3. Wie setzte ich das Remote Backup am sinnvollsten um? Die FB wird ja wohl wahrscheinlich nicht mit nem ZFS Dateisystem auf der ext. Platte klarkommen, oder?
4. Wie kann ich sicherstellen dass ich das Remote Backup komplett Remote anstoßen (ggf. sogar automatisieren) kann aber gleichzeitig sichergestellt ist, dass die Platte nicht ständig komplett unverschlüsselt an der FB hängt?
Ich will unbedingt vermeiden, dass zB ein kompromittiertes Gerät im Netzwerk meiner Eltern Zugriff auf die Daten erhält und diese auch vor malware geschützt sind.
5. Muss ich die FB meiner Eltern dann über ein VPN zugänglich machen so dass mein lokales NAS (ebenfalls hinter einer FB) auf die USB Platte als Netzlaufwerk zugreifen kann?

Vielen Dank vorab für euren Input!

PS: Das Hardware und Software setup des neuen NAS ist noch in der Evaluierungsphase. Werde insbesondere zur Wahl des geeigneten OS (Unraid, TrueNAS Core/scale) noch nen extra Thread im NAS Unterforum starten.

 

[Bruzla]

Ich hab beim Thema Backup immer so ein leichtes ungutes Gefühl, wenn alle Backups entweder verschlüsselt sind oder ich zum restoren auf eine bestimmte Software angewiesen bin.

Deshalb hab ich eine Platte rumliegen, wo die Daten nur in einer Zip Datei mit Passwort liegen.

 

[derchris]

Wird das nativ von truenas

Auf meinem TrueNAS Scale läuft ein rsync, den ich einfach über das Webinterface eingerichtet habe. Dort kannst du auch Cloud Syncs etc pp planen ...

läuft das auf einen Fehler, gibt es eine Email notification mit Log Eintrag

 

[thrawnx]

Ich hab beim Thema Backup immer so ein leichtes ungutes Gefühl, wenn alle Backups entweder verschlüsselt sind oder ich zum restoren auf eine bestimmte Software angewiesen bin.

Wenn das jetzt Tape Libraries wären, die eine proprietäre Software benutzen, hättest du Recht. Da hatte ich tatsächlich vor 15 Jahren das Problem dass ich eine spezielle (veraltete) Version zum restoren gebraucht habe. Aber mit Veracrypt etc. passiert das nicht.

 

[calippo]

Ich hab beim Thema Backup immer so ein leichtes ungutes Gefühl, wenn alle Backups entweder verschlüsselt sind oder ich zum restoren auf eine bestimmte Software angewiesen bin.

Man muss das ins Szenario übernehmen und auch testen.
Ich habe meine Passwörter, Keys und die notwendige Software (Install Datei) vom NAS (QNAP z.B. bietet ein Tool an, das unter Windows läuft) an einem sicheren Ort außerhalb gelagert, auf den auch Vertrauenspersonen zugriff haben.

 

[herrhannes]

Wenn schon TrueNAS (finde ich gut ), dann ZFS-Replikation und Snapshots nutzen. Das ist einfach genial. Und da musst du auch erst einmal keine Angst haben, dass du es irgendwann nicht mehr entschlüsseln kannst, solange du das Passwort nicht verlierst.

 

[Joe Dalton]

1. Lokales Backup (Sicherung vor Hardware Ausfall & malware)

• einer der alten 3,5 3TB HDDs in nem ext. case direkt am NAS; voll verschlüsselt
• das ext. Case ist normalerweise Stromlos und wird entweder manuell oder via smarter Steckdose 1-2x im Monat aktiviert

Auch wenn sie ausgeschaltet ist, hängt die HDD die ganze Zeit am Strom: Das hat Vor- und Nachteile.

• alternativ könnte ich mir auch vorstellen ne Art ext. Dock zu nutzen und mehrere HDDs durchzutauschen. Allerdings übersteigt aus meiner Sicht der Aufwand den Nutzen.

Ob nackte HDDs auf Dauer gut sind, halte ich auch für zweifelhaft.

2. Remote Backup (Sicherung gegen elementar Schäden)

• meine Eltern haben eine DSL100 Leitung welche natürlich etwas knapp ist. Allerdings hoffe ich, dass ich den Backup Job über Nacht fahren kann bzw. will schauen ob ich den speed ggf. drosseln kann, sodass ich nicht die gesamte Bandbreite belege. Für die inkrementellen Backups sollte das aber gar nicht so relevant sein.

Deine Eltern laden mit 100 Mbit/s die Daten bei Dir runter, wenn auf Deiner Seite der Upload entsprechend hoch ist. Was hast Du für eine Anbindung?
Letztlich kommt es auf die Datenmenge an: bei maximal 100 Mbit/s brauchst Du knapp 24 h für die Übertragung von 1 TB.

Backup Umfang:

• die Backups sollten voll verschlüsselt sein

Nachdem Du in jeder zweiten Zeile auf Verschlüsselung abfährst: Wie @Bruzla bin ich auch der Meinung, dass das ein sehr zweischneidiges Schwert ist.

Fragen:
1. Ist mir ein relevantes Risiko durch die Lappen gegangen? Sprich, passt die Strategie?

Ich würde eine Offline-Kopie vorhalten. Für die Automatisierung ist es Gift, aber aber dafür kann z.B. das unverschlüsselte Backup in einen (Bank)Safe.

3. Wie setzte ich das Remote Backup am sinnvollsten um? Die FB wird ja wohl wahrscheinlich nicht mit nem ZFS Dateisystem auf der ext. Platte klarkommen, oder?

AVM schreibt dazu, dass FAT und ext in div. Varianten unterstützt wird. Daher würde ich sowas auch nicht direkt an einen Router hängen, sondern ein einfaches NAS von z.B. Synology wählen. Damit wären dann auch Themen für Software (Backup, rsync etc.) einfacher zu klären.

4. Wie kann ich sicherstellen dass ich das Remote Backup komplett Remote anstoßen (ggf. sogar automatisieren) kann aber gleichzeitig sichergestellt ist, dass die Platte nicht ständig komplett unverschlüsselt an der FB hängt?

Gar nicht: wähle eines von beiden. Entweder automatisiert oder sicher.
Grundsätzlich ist die Frage, wovor Du Dich absichern willst.

Ich will unbedingt vermeiden, dass zB ein kompromittiertes Gerät im Netzwerk meiner Eltern Zugriff auf die Daten erhält und diese auch vor malware geschützt sind.

Das ist eine Frage der aktiven Services. Wenn Du kein SMB/CIFSs nutzt, sondern andere Services gefragt sind, dann ist eines der größeren Einfallstore geschlossen (siehe Übertragung per sFTP/scp/rsync).

5. Muss ich die FB meiner Eltern dann über ein VPN zugänglich machen so dass mein lokales NAS (ebenfalls hinter einer FB) auf die USB Platte als Netzlaufwerk zugreifen kann?

Alles eine Frage des Protokolls und der Ressourcen: Ich würde immer über eine Art VPN gehen, damit ich nicht meine Services per Portforwarding im Internet bereitstellen muss.

 

[herrhannes]

Bei ZFS könnte man die Daten ganz einfach verschlüsselt übertragen, normalerweise ändert sich ja auch täglich nicht soo viel.

 

[[AlphaRC]Eraser]

Danke für das umfangreiche Feedback!
Bzgl. Verschlüsselung. Verstehe nicht warum das Thema kritisch gesehen wird. Auf dem NAS bzw. Dem Backup liegen alle mir wichtigen Daten. Bilder inkl. der Kids, wichtige pers. Dokumente etc. Falls mir doch mal jemand in die Bude einsteigen sollte oder was bei nem Transport verlorengeht hätte jemand sofort Zugriff auf ALLES. Da ist doch Identitaetsdiebstahl etc Tür und Tor geöffnet.
Bei mir im Haushalt sind daher alle Datenträger in allen Devices verschlüsselt. Hab mit Truecrypt/Veracrypt seit mehr als 15 Jahren im Einsatz und nie Probleme gehabt. Ebenso mit FileVault auf den mac devices. Performance technisch macht das heutzutage doch nix. Warum soll man also so ein Risiko nicht eleminieren?

@ Calippo: Passwort bzw. Recovery bei ner Vertrauensperson ist ne gute Idee.

Bzgl snapshots: Kann ich die auf einem beliebigen Zielsystem mit rsync sichern oder gibts da besondere Anforderungen die ich im Blick haben sollte?

@Joe Dalton:
Danke für das umfangreiche strukturierte Feedback!
- lokale HDD: würde direkt das ext. Case ausschalten. Damit sollte die hdd ja auch wirklich Strom los sein.

- Remote Backup Datenrate: würde auf nen Mnet FTTB Tarif mit 100 bzw. 200 Upload gehen. Müsste dann eher schauen ob ich meinen Upload Speed limitieren kann damit ich nicht den vollen Download meiner Eltern blockiere.

- Offline Kopie: nehme ich mit!

- FB vs “Synology”: Ja mit nem separaten NAS gehts sicher nochmal komfortabler. Aber das sind dann wieder extra Anschaffungs- und Strom kosten bzw. Extra Komplexität die ich eigtl. Vermeiden wollte. Falls die HDD an der Fb kategorisch auszuschließen wäre muss ich mich wohl oder übel nach ner anderen Lösung umsehen.

- Absicherung des Remote Backups: Die ext HDD an der FB meiner Eltern bietet keinerlei lokale Services an. Keine Freigabe oÄ. Die würde ich lediglich als Backup destination dort anbringen.
Bin mir halt nicht sicher ob ich dort ne Freigabe Remote verfügbar machen kann ohne diese lokal zu exponieren.
Ich vermute einfach dass die wahrscheinlichkeit malware im Netz meiner Eltern zu haben deutlich höher ist.

 

[Joe Dalton]

Danke für das umfangreiche Feedback!
Bzgl. Verschlüsselung. Verstehe nicht warum das Thema kritisch gesehen wird. Auf dem NAS bzw. Dem Backup liegen alle mir wichtigen Daten. Bilder inkl. der Kids, wichtige pers. Dokumente etc. Falls mir doch mal jemand in die Bude einsteigen sollte oder was bei nem Transport verlorengeht hätte jemand sofort Zugriff auf ALLES. Da ist doch Identitaetsdiebstahl etc Tür und Tor geöffnet.

Paranoia lebt vom mitmachen. Es ging auch nicht darum, dass gar nichts verschlüsselt werden soll. Vielmehr war die Aussage eine sicher gelagerte, unverschlüsselte Kopie zu haben.

Bei mir im Haushalt sind daher alle Datenträger in allen Devices verschlüsselt. Hab mit Truecrypt/Veracrypt seit mehr als 15 Jahren im Einsatz und nie Probleme gehabt. Ebenso mit FileVault auf den mac devices. Performance technisch macht das heutzutage doch nix. Warum soll man also so ein Risiko nicht eleminieren?

Ein defekter verschlüsselter Container macht nicht nur Freude: Daher ist es eine zweischneidige Sache.
Zudem war die Performance in diesem Kontext kein Diskussionsthema.

- lokale HDD: würde direkt das ext. Case ausschalten. Damit sollte die hdd ja auch wirklich Strom los sein.

Wirklich stromlos und sicher ist sie, wenn kein (Strom-)Kabel im Gehäuse steckt.

- Remote Backup Datenrate: würde auf nen Mnet FTTB Tarif mit 100 bzw. 200 Upload gehen. Müsste dann eher schauen ob ich meinen Upload Speed limitieren kann damit ich nicht den vollen Download meiner Eltern blockiere.

Rechne einfach hoch, wie groß Dein Zeitfenster für die Sicherung sein muss und lege es in die Nacht. Erst wenn das nicht mehr reicht, würde ich anfangen zu drosseln.

- FB vs “Synology”: Ja mit nem separaten NAS gehts sicher nochmal komfortabler. Aber das sind dann wieder extra Anschaffungs- und Strom kosten bzw. Extra Komplexität die ich eigtl. Vermeiden wollte. Falls die HDD an der Fb kategorisch auszuschließen wäre muss ich mich wohl oder übel nach ner anderen Lösung umsehen.

Auf der einen Seite pflegst Du manuell ein DIY-NAS und auf der anderen Seite soll ein einfaches Fertig-NAS die Komplexität nennenswert erhöhen? Ja...nein.
Die Kosten sind definitiv höher, aber dafür kommt deutlich mehr Komfort und Funktionalität dazu.

- Absicherung des Remote Backups: Die ext HDD an der FB meiner Eltern bietet keinerlei lokale Services an. Keine Freigabe oÄ. Die würde ich lediglich als Backup destination dort anbringen.
Bin mir halt nicht sicher ob ich dort ne Freigabe Remote verfügbar machen kann ohne diese lokal zu exponieren.
Ich vermute einfach dass die wahrscheinlichkeit malware im Netz meiner Eltern zu haben deutlich höher ist.

Die HDD an der Fritz!Box kann imho nicht verschlüsselt werden und vielleicht hast Du noch eine rudimentäre Rechtevergabe. Oben treibst Du jeden erdenklichen Aufwand und an der Fritz!Box wird's dann standard-einfach. :-(

Da würde ich mir eher überlegen, ob die Datenmenge klein genug bzw. ausreichend Cloudspeicher (z.B. O365) zur Verfügung stehen, um dort die wichtigsten Sachen verschlüsselt zu lagern. Dann ist auch die Diskussion um die Bandbreite erschlagen.

 

[[AlphaRC]Eraser]

Da würde ich mir eher überlegen, ob die Datenmenge klein genug bzw. ausreichend Cloudspeicher (z.B. O365) zur Verfügung stehen, um dort die wichtigsten Sachen verschlüsselt zu lagern. Dann ist auch die Diskussion um die Bandbreite erschlagen.

Hm das stimmt natürlich auch wieder. Muss ich in der Tat mal durchgehen ob ich nicht sogar noch irgendwo nen kostenfreien Speicher hab der dafür ausreicht oder ggf. Mit ner Office Lizenz verbinde.

 

[DFFVB]

Interessanter Thread. Ad Verschlüsselung: Auf keinen unverschlüsselte wichtige Daten lagern. Identitätdiesbstahl ist kein Spaß... Aber ja man braucht einen getesteten Plan, wie man es wieder herstellt, einige Daten sichere ich dann auch mit 7Zip - ggf. mal das Tool CryptSync anschauen.

Nochmal zur abstrakten Theorie vom TE: Das klingt alles schön und gut, das Problem liegt aber sehr im Detail. Du sorgst Dich einerseits um kompromittierte Geräte im Netz Deiner Eltern, (zu Recht!), anderseits musst Du ja eine Verbindung ins Netz Deiner Eltern aufbauen... Dazu kommt, Du musst Du Festplatte an der FB so verschlüsseln, dass nur Du Zugriff darauf hast, und gleichzeitig, aber auch wiederherstellen kannst, wenn Du nur die Festplatte hast, weil Dein Haus abgeraucht ist... Ich würde da vermutlich mal rclone anschauen, damit kannst Du dann per SMB wegsichern.

Eine andere Sache noch: Wenn Du alle Deine GEräte 24/7 durchlaufen lässt ist es irrelevant, ansonsten: Wenn sich Geräte von selber entschlüsseln beim Booten, liegen die PW im Klartext vor... außer bei Windows und Bitlocker. Aber auch das kann umgangen werden.

Und zum Schluss noch eine andere Idee: Hetzner StorageBox, kost fast nix, und spricht 4 Mrd Protokolle - da könntest Du auch via Borg oder Restic im Append mode Backups sichern, hat aber auch ne kleine Lernkurve...

 

[Lenny88]

Schau dir mal Duplicacy an. Ich habe TrueNAS Core im Einsatz. Dann per Duplicacy täglich verschlüsselte (oder bei Bedarf auch nicht verschlüsselte) Backups mit Revisionierung auf OneDrive und eine externe Festplatte.
Läuft absolut unkompliziert und eine Wiederherstellung ist auf jedem beliebigem System auf dem man Duplicacy installieren kann möglich.