monatl. Backup auf ext. Festplatte und WannaCry

[tim09]

Hi zusammen,
ich mache 1x pro Monat ein automatisches Backup auf meine ext. USB Festplatte welche an der DS212+ hinten über USB verbunden ist.

Durch den ganzen Wirbel von WannaCry stelle ich mir nun folgende Frage:
Wenn WannaCry oder eine ähnliche Ransomware die Daten auf meiner DS212+ verschlüsselt, dann würden vermutlich die Daten auf der ext. Fesplatte auch gleich verschlüsseln weil die ja auch über USB angehängt ist.
Daten und Backup wären daher verschlüsselt...

Wäre es ev. möglich, dass die USB Festplatte nur zum Zeitpunkt des Starts vom Backup automatisch verbunden (gemounted) wird und nach erfolgreichem Backup zwar über Kabel noch verbunden aber dismounted ist?

Danke
Tim

 

[PsychoHH]

Ohne ein eigenes Script welches das regelt nein.
Theoretisch könnte man die Platte trennen aber dann müsste diese neu verbunden werden oder aber die DS muss neugestartet werden.

 

[Audi]

Für einmal im Monat könnte man die externe Festplatte auch manuell bedienen. Wäre dann nur nicht so bequem.

 

[dil88]

Mit Ultimate Backup und autorun ist ein manuelles Backup imho sehr bequem: Anstecken, laufen lassen, abziehen, Platte verwahren.

 

[PsychoHH]

Jap finde ich persönlich auch die sinnvollste Methode.

 

[Tommes]

Jepp, dem kann ich mich nur anschließen

 

[mb01]

Wichtige Maßnahme wäre, dass der User, mit dem du von deinen Rechnern aus normalerweise auf die Ordner der Diskstation zugreifst, keinerlei Schreibrechte auf das USB-Laufwerk an der Synology hat. Das sollte zumindest verhindern, dass das Laufwerk wenn gleich "mitverschlüsselt" wird. Für das Backup dann einen eigenen, nur für diese Aktion erstellten User verwenden, der auch am besten als einziger Zugriff auf das USB-Laufwerk hat.

Dann könntest du mit Hyperbackup "versioniert", also über die neue Datenbankmethode auf die USB-Platte sichern. In der Theorie sollten dann, falls Wannacry & Co zuschlagen und sich das unglücklich mit dem Backup-Job überschneidet, die nun verschlüsselten Daten als neue Version gespeichert werden, sodass man über die vorherige Version noch an die richtigen Daten kommt. Wie gesagt theoretisch, getestet hab ich das nicht und unter der Annahme, dass Hyperbackup das richtig erkennt. Wenn dann der Platz für den zweiten komplettverschlüsselten Backupsatz auf der USB-Platte nicht ausreicht, sollte das Backup eigentlich abbrechen und du weiterhin Zugriff haben.

Persönlich nutz ich mehrere Varianten: Unregelmäßig ein manuelles Backup auf extra angeklemmte externe Festplatten, regelmäßig per versioniertem Hyperbackup mit speziellem User auf ein dauerhaft angeklemmtes USB-Laufwerk. Nicht zu vergessen: Blitzschlag, Brand, "HimmelFälltAufDenKopf" und das angehängte USB-Laufwerk ist auch platt, von daher ist ein weiteres getrenntes Backup immer eine gute Idee.

 

[Tommes]

Also... ein auf extern angeschlossen USB/SATA-Datenträgern erstelltes Backup gehört nur zur Zeit des Backuplaufs an die DS, ansonsten sollte es räumlich getrennt an einem sicheren Ort aufbewahrt werden. Sicherlich ist das mit Arbeit verbunden, aber wir haben das Gejammer schon all zu oft hier vernommen, weil Leute aus "Faulheit" das Backupmedium angesteckt ließen.

Es spricht ja nichts dagegen das man ein zweites (z.B. tägliches) Backup auf einem angesteckten Datenträger erstellt, aber eins gehört im jedem Fall getrennt. Hier kann natürlich auch Cloudspeicher oder eine weitere DS eine Rolle spielen.

Tommes

 

[tim09]

Hi zusammen,
danke für die Antworten.
Im Prinzip mach ich es auch genau so ähnlich wie oben vorgeschlagen:
-Monatlich ein Backup mit Hyperbackup an fix verbundener externen Festplatte
-Halbjährliches Backup wo ich einfach Dateien per Explorer "rüberziehe" auf eine zusätzliche Festplatte welche dann wieder wo Anders gelagert wird.

Anderen User könnte ich mir mal überlegen.

 

[tim09]

Noch kurz die Info, dass mir in den Sicherungseinstllungen von Hyperbackup gerade aufgefallen ist, dass man das ext. Medium nach Beendigung auswerfen kann.

 

[tim09]

Ich bin gerade dabei einen eigenen Backup User anzulegen auf meiner DS.
Kann es sein, dass dieser Backup User in der Administratoren Gruppe sein muss?

Ich bekomm immer nur so einen Screen, wenn ich mich anmelde. Da fehlt mir Hyper Backup und all die Apps und Einstellmöglichkeiten, etc.

 

[Fish76]

Hallo!

Hm, korrigiert mich, wenn ich falsch liege, aber es ist doch so:
Wenn ich mit dem admin-Konto einen Backup-Job auf die externe USB erstelle, und mir für meine tägliche Arbeit unter Win einen Benutzer-Konto anlege, das KEIN Zugriff auf die externe USB hat, dann ist doch alles sicher?!

Der Backup-Job sichert regelmässig die RS (oder DS) und ein Schadsoftwarebefall, egal welcher Art, hat keinen Zugriff auf die externe USB. Die Schadsoftware kommt ja nur über das "Tor" des Win Benutzer-Konto auf die RS, welches aber kein Zugriff auf die externe USB hat.

Selbst ein Kopieren von infizierten Dateien vom Win Benutzer-Konto auf die RS würde bei einem Backup keine direkte Infektion auslösen, denn die RS läuft mit einem Linux-Kernel und die Dateien werden beim Kopieren ja nicht ausgeführt.


Über den generellen Umgang mit externen USB-Platten als Backup-Ort soll das hier aber jetzt nichts aussagen... ;-)

Gruss Fish76

 

[tim09]

Hi Fish76,
hört sich plausibel an aber ich glaube es ist so.
Man muss in der DS einen Benutzer erstellen. Mit diesem Benutzer kann man dann auch von Windows aus zugreifen.
Wenn man diesem Benutzer nun keine Schreibrechte auf die ext. FP gibt, dann kann man mit ihm auch in der DS keine Backupdaten auf die ext. FP schreiben.

Ob man dem User einfach unter Windows die Schreibrechte auf die USB FP nehmen kann weiß ich nicht. Ist das sicher. Kann so eine Ransomware nicht einfach wieder den Haken in Windows setzten, sodass man wieder Schreibrechte hat?

 

[Fish76]

Hallo tim09!

Soweit richtig. Du muss einen Benutzer in der DS erstellen, um über Win darauf zugreifen zu können. Dieser Benutzer muss aber keinen Zugriff auf die externe USB haben!
Das Backup wird direkt im DSM über den Admin-Zugang eingerichtet. Du kannst als Admin frei wählen, welche Benutzerkonten, bzw. Dateien gesichert werden sollen. Der Admin hat ja Zugriff auf die externe Platte.

So kann der Windows User auf seine Dateien auf der DS zugreifen, aber nicht auf das Backup. Braucht er ja auch nicht.
Und die Backup-Dateien auf der externen USB sind geschützt, weil kein User von Windows aus direkten Zugriff auf die externe Platte hat. Und somit ja auch keine Schadsoftware.

Bei mir läuft es so. Und ich fühle mich sicher... ;-)

Gruss Fish76

 

[Malaka69]

Sorry, ich muss den Thread hier hijacken:
Wo gibts die Versionierung in Hyperbackup? Ich finde nur die Versionierung für die Konfiguration... Liegt es daran, dass ich mein Backup noch zu VOR-Hyperback-Zeiten erstellt habe?

Ich möchte mittels Versionierung meines Backups (Komplettsicherung, externe HDD, 1x im Monat, lagert extern) vermeiden, dass ich a) aus Versehen gelöschte Dateien auf nimmer wieder sehen backupe und b) mich vor so Sachen wie Wannacry "schützen".

 

[dil88]

Ja, dann wurde vermutlich die alte, nicht versionierte Datensicherung migriert. Versionierung bekommst Du mit einem neuen HyperBackup Datensicherungsjob. Dabei werden die Daten in eine Datenbank geschrieben. Willst Du sie im Filesystem speichern, schau Dir Ultimate Backup an.

 

[Malaka69]

Dank dir.

Nur zur Klarstellung:

Auf die Dateien im Backup von Hyperbackup kann nicht auf normalem Weg (Explorer) zugegriffen werden.
Auf die Daten im Backup von Ultimate Backup kann auf normalen Weg (Explorer) zugegriffen werden.
Beide unterstützen Versionierung.

Ist der Vorteil von Hyperbackup dann die geringere Größe?

 

[riddick]

bei Hyperbackup geht das schon auch, wenn man die richtige Variante wählt. Ich habs monatelang falsch gemacht und nun malk geschaut ob ich eine datei einfach so rauskopieren kann. Geht nicht. Nun muss ich mit Hyperbackup nochmals neu beginnen und das richtige verfhren nehmen. Mit Lokale Datenkopie sollte man direkt zugreifen können. Ich hoffe das es danach geht.
ICh verstehe nicht wieso man das Backup verschlüsselt. Ws macht man wenn man in 10 JAhren mal darauf zugreifen muss und das Entschlüsseln nicht mehr geht und synology nicht mehr existiert?
Was nützt ein backup wenn mein NAS Kaputt geht und ich schnell ein paar Dateien aus Ordner XY brauche?

Ich muss jetzt 2.2TB nochmals sichern weil ich vermutlich damals die falsche backup variante eingestellt habe. Doof sowas.

 

[Malaka69]

Naja, wenn man normalen Dateizugriff haben möchte, brauchst du eine Kopie. Dann hast du aber keine Versionierung. Habe es gerade probiert.

 

[TeXniXo]

Wie @dill88 in #16 erwähnt hat, geht es mit dem Paket Ultimate Backup - da geht es mit der lokalen Datenkopie in Versionierungen gut!