TS: Datensicherung aus dem Haus geben

Hallo und guten Tag,

hier gab es in der letzten Zeit einige Threads zum Thema Datensicherung und Datensicherheit.

Mich würde nun heute interessieren, wie man technisch vorgehen könnte, um in regelmäßigen Abständen Datenvollsicherungen aus dem Haus zu schaffen.

Es handelt sich um ca. 250GB bis 1TB (passt raw auf eine "1TB"-Platte) relevanter Daten, die gesichert werden müssen, aber außer Haus nicht eigesehen werden können dürfen.

  1. Wieviele Kopien benötigt man als Paranoiker?
  2. Wie erzeugt man sie zweckmäßigerweise?
  3. Sind Medien bedenkenlos wiederverwendbar?
  4. was muss man alles kopieren?
  5. Wem gibt man die Kopien?
  6. Wie stellt man sie im Bedarfsfall wieder her?
  7. Wie stellt man Manipulationen an der Kopie fest?
  8. Wie muss ein dafür geeignetes minimalistisches, aber sicherers System aussehen?
  9. usw.

Grüße
TS

  1. Moin!

    1. Wieviele Kopien benötigt man als Paranoiker?

    Immer noch eine mehr als angelegt wurde.

    2. Wie erzeugt man sie zweckmäßigerweise?

    Durch Hashen (siehe unten), verschlüsseln und kopieren.

    3. Sind Medien bedenkenlos wiederverwendbar?

    Also ich kaufe mein Klopapier als solches, weil man, nimmt man "Medien", sich mit manchen die Scheiße an den Arsch wischt.

    4. was muss man alles kopieren?

    Als Paranoiker? Kommt darauf an. Unangenehme Dokumente natürlich niemals.

    5. Wem gibt man die Kopien?

    Nur Paranoikern.

    6. Wie stellt man sie im Bedarfsfall wieder her?

    Entschlüsseln. Vergleichen der Hashes. Kopieren.

    7. Wie stellt man Manipulationen an der Kopie fest?

    Entschlüsseln. Ggf. Listen mit Hashes der Dateien getrennt aufbewahren. Die kann man mit openssl ssh1 erzeugen.

    8. Wie muss ein dafür geeignetes minimalistisches, aber sicherers System aussehen?

    Nach Text. Ein gepflegtes Debian ohne grafische Oberfläche reicht völlig aus.

    Jörg Reinholz

  2. Tach,

    ich beschreibe einfach mal, was ich hier im Moment habe: 1 NAS (Raid 6 + Spare) auf dem die Backups sind, per rsync mit Hardlinks habe ich Backups für jeden Tag der vergangenen 2 Wochen und dann je eins grob pro Monat für ein Jahr davor (das macht im Moment etwa 12 TB). Davon wird dann (quasi) täglich ein Backup auf eine der 6 externen Festplatten gemacht (dieses enthält jeweils nur einen Tag, etwa 1.6 TB), die der Chef mit nach Hause nimmt bzw. von denen zwei, wie sich das mit Dienstreisen ergibt in der Zentrale gelagert werden. Das NAS steht im Gebäude auf der anderen Seite der Feuerschutzwände/-türen; das Dateisystem auf dem NAS ist verschlüsselt, und das der externen Festplatten ebenfalls.

    1. Sind Medien bedenkenlos wiederverwendbar?

    Das hängt vom Medium ab, ich verwende Festplatten, die durch die Gegend getragen werden für das externe Backup, da erwarte ich eine relativ hohe Fehlerrate.

    1. was muss man alles kopieren?

    Alles, was man braucht, um die Systeme wiederherzustellen.

    1. Wem gibt man die Kopien?

    Jemand vertrauenswürdigem und die Schlüssel gibt man jemand anderem im versiegelten Briefumschlag.

    1. Wie stellt man sie im Bedarfsfall wieder her?

    System aufsetzen, Software installieren, Nutzdaten hinkopieren, booten, fertig.

    1. Wie stellt man Manipulationen an der Kopie fest?

    Solange die Verschlüsselung funktioniert, ist das kein Problem.

    1. Wie muss ein dafür geeignetes minimalistisches, aber sicherers System aussehen?

    Auf dem NAS läuft ein Linux, das Raid wird mit mdadm und die Verschlüsselung mit dm_crypt erledigt; im Zweifelsfall kann man also mit jedem anderen Linux an die Daten ran, falls das NAS den Geist aufgibt.

    Größtes Problem an der Lösung wird bald die Länge des Backupprozesses; im Moment dauert es um die 7h die Daten über Nacht von den Servern auf das NAS zu schieben und 8h es tagsüber auf die externe Platte zu aktualisieren. Sobald ersteres nicht mehr außerhalb der Arbeitszeiten oder letzteres nicht mehr innerhalb eine normalen Arbeitstages fertig wird, werde ich das breiter verteilen müssen.

    mfg
    Woodfighter

    1. problematische Seite

      @@woodfighter

      1. …
      1. …
      1. …
      1. …
      1. …

      Hatte ich eigentlich schon erwähnt, dass Kramdown für dieses Forum ungeeignet ist?

      LLAP 🖖

      --
      Ist diese Antwort anstößig? Dann könnte sie nützlich sein.
      1. Hallo und guten Tag,

        @@woodfighter

        1. …
        1. …
        1. …
        1. …
        1. …

        Hatte ich eigentlich schon erwähnt, dass Kramdown für dieses Forum ungeeignet ist?

        Das wird so langsam zu einem running gag :-P

        Grüße
        TS

        1. Hallo

          1. …
          1. …
          1. …
          1. …
          1. …

          Hatte ich eigentlich schon erwähnt, dass Kramdown für dieses Forum ungeeignet ist?

          Das wird so langsam zu einem running gag :-P

          Für mich wird es immer mehr zum bothersome gag.

          Tschö, Auge

          --
          Es schimmerte ein Licht am Ende des Tunnels und es stammte von einem Flammenwerfer.
          Terry Pratchett, „Gevatter Tod“
      2. Tach,

        Hatte ich eigentlich schon erwähnt, dass Kramdown für dieses Forum ungeeignet ist?

        das jedes Mal zu erwähnen, wenn es dir einfällt, wirkt bestimmt nicht so, wie du es willst sondern eher nervig und frustrierend.

        zu den Listen, s.a. http://forum.selfhtml.org/self/2015/aug/6/markdown-verstaendis/1647489#m1647489

        mfg
        Woodfighter

        1. @@woodfighter

          zu den Listen, s.a. http://forum.selfhtml.org/self/2015/aug/6/markdown-verstaendis/1647489#m1647489

          Das hilft hier überhaupt nicht weiter. Du warst es, der die ürsprünglich vorhandene Durchnumerierung der Liste kaputtgemacht hat, indem du deinen Senf zu den einzelnen Punkten dazugegeben hast. Mit TOFU wär das nicht passiert.

          Natürlich soll man genauso antworten können wie du es getan hast. Und genau liegt das Problem der automatischen Numerierung mit Kramdown. Beim Antworten geht diese kaputt. Und daran ändert auch ein anderer Startwert nichts.

          Das Problem ist nicht der Antwortende, das Problem ist die automatische Numerierung. Das Problem ist Kramdown.

          LLAP 🖖

          --
          Ist diese Antwort anstößig? Dann könnte sie nützlich sein.
          1. Tach,

            zu den Listen, s.a. http://forum.selfhtml.org/self/2015/aug/6/markdown-verstaendis/1647489#m1647489

            Das hilft hier überhaupt nicht weiter. Du warst es, der die ürsprünglich vorhandene Durchnumerierung der Liste kaputtgemacht hat, indem du deinen Senf zu den einzelnen Punkten dazugegeben hast. Mit TOFU wär das nicht passiert.

            hätte TS die Listenpunkte durchnummeriert, wie es üblich wäre und wäre das Kramdown-Issue, so wie ich es umgesetzt erwarte, wäre alles passend gewesen. Beim normalen Fragenden tritt, das nicht auf, weil der nicht weiß, dass er Listen im Moment belibig nummerieren kann.

            Das Problem ist nicht der Antwortende, das Problem ist die automatische Numerierung. Das Problem ist Kramdown.

            Dann fixe das Problem, wie schon gesagt, dass immer wieder zu erwähnen ist zwar catoesk, wird aber vermutlich Christian nicht davon überzeugen, die technische Grundlage des Forums zu ändern.

            mfg Woodfighter

            1. @@woodfighter

              hätte TS die Listenpunkte durchnummeriert, wie es üblich wäre und wäre das Kramdown-Issue, so wie ich es umgesetzt erwarte, wäre alles passend gewesen. Beim normalen Fragenden tritt, das nicht auf, weil der nicht weiß, dass er Listen im Moment belibig nummerieren kann.

              Wenn ein Feature nicht verwendet werden soll, dann sollte das Feature gar nicht erst zur Verfügung stehen.

              LLAP 🖖

              --
              Ist diese Antwort anstößig? Dann könnte sie nützlich sein.
              1. Tach,

                Wenn ein Feature nicht verwendet werden sollte, dann sollte das Feature gar nicht erst zur Verfügung stehen.

                dann lass dir doch mal einfallen, wie du das dem Kramdown-Parser beibringst oder den Autoren des Kramdown-Parsers.

                Vielleicht wäre eine Auswahl Markdown/kein Markdown, mit einem Default auf letzteres für nicht angemeldete Benutzer sinnvoll; von Stammpostern kann ich erwarten, dass sie sich mit dem System auseinandersetzen oder es eh schon von anderswo kennen.

                mfg
                Woodfighter

            2. Hallo und guten Tag,

              hätte TS die Listenpunkte durchnummeriert, wie es üblich wäre

              Ach, jetzt bin ich wieder schuld!?

              Da will man mal die Vorteile einer OL benutzen, und dann darf man das doch wieder nicht...

              Grüße
              TS

              1. Tach,

                hätte TS die Listenpunkte durchnummeriert, wie es üblich wäre

                Ach, jetzt bin ich wieder schuld!?

                wäre die Liste nummeriert gewesen, hätte ich beim Antworten Backslashes eingefügt und die Nummern wären erhalten geblieben; so hätte ich jedesmal noch nachschauen müssen, welche Zahl gerade dran ist.

                mfg
                Woodfighter

                1. @@woodfighter

                  Ach, jetzt bin ich wieder schuld!?

                  wäre die Liste nummeriert gewesen,

                  Sie war numeriert. TS hat Kramdown bewusst ganz in dessen Sinne eingesetzt; da gibt es nichts dagegen zu sagen.

                  Dass die Numerierung in deiner Antwort kaputtgeht, ist nun wirklich nicht TS’ Schuld.

                  Wie gesagt auch nicht deine – sondern die des für dieses Forum unpassenden Features.

                  hätte ich beim Antworten Backslashes eingefügt und die Nummern wären erhalten geblieben

                  Schon dass du das hättest tun müssen, um die Numerierung zu erhalten, zeigt, wie unpassend dieses Feature für dieses Forum ist.

                  LLAP 🖖

                  --
                  Ist diese Antwort anstößig? Dann könnte sie nützlich sein.
                  1. Tach,

                    wäre die Liste nummeriert gewesen,

                    Sie war numeriert. TS hat Kramdown bewusst ganz in dessen Sinne eingesetzt; da gibt es nichts dagegen zu sagen.

                    ich habe auch kein Problem damit gehabt; die Nummerierung spielte in diesem Falle keine Rolle, deswegen habe ich keinen Aufwand getrieben sie zu erhalten.

                    Schon dass du das hättest tun müssen, um die Numerierung zu erhalten, zeigt, wie unpassend dieses Feature für dieses Forum ist.

                    Gut dass du das nochmals erwähnst, ich hätte deine Meinung zum Them in den letzten 10 Minuten fast vergessen.

                    mfg
                    Woodfighter

                    1. @@woodfighter

                      Gut dass du das nochmals erwähnst, ich hätte deine Meinung zum Them in den letzten 10 Minuten fast vergessen.

                      Wenn du mir dein Taschentuch gibst, mach ich dir auch einen Knoten rein.

                      LLAP 🖖

                      --
                      Ist diese Antwort anstößig? Dann könnte sie nützlich sein.
    2. Hallo und guten Tag,

      Größtes Problem an der Lösung wird bald die Länge des Backupprozesses; im Moment dauert es um die 7h die Daten über Nacht von den Servern auf das NAS zu schieben und 8h es tagsüber auf die externe Platte zu aktualisieren. Sobald ersteres nicht mehr außerhalb der Arbeitszeiten oder letzteres nicht mehr innerhalb eine normalen Arbeitstages fertig wird, werde ich das breiter verteilen müssen.

      Wie machst Du das mit Datenbanken? Welche habt Ihr überhaupt im Einsatz?
      Runterfahren und Vollsicherung, oder incrementelle Sicherungen? Das wäre dann ja zur Wiederherstellung recht lästig.

      Grüße
      TS

      1. Tach,

        Wie machst Du das mit Datenbanken?

        dumpen vor dem Datei-Backup

        Welche habt Ihr überhaupt im Einsatz?

        im wesentlichen Postgres, Mysql nur für kleinere Tools, die nix anderes können

        mfg
        Woodfighter

      2. Moin!

        Wie machst Du das mit Datenbanken?

        Nun ja. Die erste Reserve wäre wohl mindestens ein replizierter Slave, der nur zu Backup-Zwecken dient. Ein solchen kann man auch runterfahren um ein Backup auf Dateisystemebene ziehen. Sieh also im Handbuch Deines DBMS unter Replikation nach. Gibt es nicht? Oh Shitt! Eine Fehlinvestition.

        Welche habt Ihr überhaupt im Einsatz?

        Du fragts wie Dein Backup gehen soll. Nicht wir.

        Jörg Reinholz

        1. Moin!

          Hm. Und wie hilfreich ist es jetzt wohl für den TO (TS), dass er nicht erfährt, warum meine Antwort so fürchterlich falsch sein soll?

          Jörg Reinholz