Backupstrategie?..... versioniertes Backup mit Leserechten abholen und nicht senden

[NeoLF]

Hallo,
ich bin Neuling mit Synology
und erneuere gerade meine komplette Sicherungsstruktur.

Nach vielem studieren und testen der Möglichkeiten schwirrt mir ein wenig der Kopf.

Ich habe
1 Surface-Tablet meiner Mutter (+Handy&Co)
1 Surface Tablet + 1 Computer bei mir (+Handy&Co)
beide Netzwerke sind über die Fritz-Box per VPN verbunden.
Und ich möchte von allen Rechnern eigentlich nur mit Netzlaufwerken arbeiten.

Meine Idee:
DS218+ steht bei mir und sichert die auf ihr liegenden Netzlaufwerke (1x wöchentlich per HyperBackup mit Versionierung) auf die DS214 bei meiner Mutter
DS214 steht bei meiner Mutter und sichert die auf ihr liegenden Netzlaufwerke(mit sehr wenig Daten) (1x wöchentlich per HyperBackup mit Versionierung) auf die DS218+ bei mir
also über Kreuz gesichert.
Nun möchte ich aber von dem ganzen gerne noch ein Backup haben... (Verschlüsselungstrojaner und co...)
Nennt mich paranoid....

Angedacht war,
das ich die DS214 (1x im Monat) noch auf eine DS412+ rücksichere die Räumlich getrennt im Netzwerk meiner Mutter hängt.

Die Daten meiner DS218+ liegen aber auf der DS214 bereits als HyperBackup "Bucket"-Datei und ein (evtl sogar versioniertes) Hyperbackup von dieser Hyperbackup Datei auf die DS412+ wird sicherlich nicht sinnvoll sein, wenn überhaupt möglich!?
Die Daten direkt per Hyperbackup von meiner DS218+ auf die 412+ bei meiner Mutter zu schicken macht doch dann aber die Sicherung auf der 214 unnötig bzw. bei Angriffen ist wieder eine direkte Verbindung da.


Ich hätte gerne,
dass die beiden sich über Kreuz sichernden DS218+ und DS214 überhaupt keinen Zugriff auf das "SuperSicherheitsBackup" auf der 412+ hätten.
So dass selbst wenn -durch irgendeinen Fehler- mal ein Verschlüsselungstrojaner mit Admin Rechten auf diese DS´en kommt; er keine Möglichkeit hat weiter auf das "SuperSicherheitsBackup" auf der 412+ zu kommen.


>>> die Hauptfrage <<<
Daraus folgt für mich, dass die DS 412+ das "SuperSicherheitsBackup" mit Leserechten auf der DS214 (und/oder der DS218+) abholen müsste. Und das hätte ich noch gerne versioniert.
Wie geht das????


Denn Hyperbackup funktioniert ja gerade anders herum. Das Backup wird >gesendet< und nicht >geholt<


Ich hoffe ich hab euch nicht zu sehr verwirrt

Und bin auch offen für Vorschläge einer anderen Backupstrategie!


Grüße
und Danke für eure Hilfe

 

[NeoLF]

Damit andere die ebenfalls aus Sicherheitsgründen ein "PULL"-Backup einem "PUSH"-Backup bevorzugen eine Hilfestellung haben, hier mal meine Rechercheergebnisse.


Alle Synology-eigenen Backup-Möglichkeiten sind scheinbar PUSH-Backups.

Die einzigen Möglichkeiten (ohne dass man sich ein Skript selbst schreibt) sind:

- Synology ActiveBackup for Server (was aber wohl nicht nur bei mir nur verschiedenste "Error-__" Auswirft)
(Ich bin mir nichtmal sicher ob es damit überhaupt möglich ist von einem Synology-NAS zu sichern)

- Ultimate Backup (von Tommes & PsychoHH) https://www.cphub.net/?p=umbackup
Das scheint ganz gut zu funktionieren wenn auch die Oberfläche natürlich nicht so hübsch ist, aber das ist ja klar wenn keine professionelle SoftwareFirma dahinter steht.


Insgesamt bin ich nun etwas enttäuscht von Synology,
da ich mir sicher war; bei der wirklich sehr großen Fülle von Möglichkeiten und Zusatzprogrammen,
auch Apps/Pakete für "Pull"-backups zu finden.
Aber scheinbar setzt Synology voll und ganz auf die "Push" Methode.

Ich bin von einer uralten Stardom sl3620-2s-lb2 nas box über eine Netgear ReadyNas NV+ gekommen
wo jeweils die -meiner Meinung nach Idiotensicherere- Pull Methode der Standard war.
Nun werde ich mir überlegen ob ich zumindest eine der alten NAS noch als Backup vom Backup im Teilzeitbetrieb lasse.


Viele Grüße

 

[dil88]

Ich würde an der Stelle auch an Ultimate Backup denken. Deinen Unmut solltest Du an Synology herantragen, der verpufft hier im Userforum ansonsten.

 

[Iarn]

Mögliche Lösungen:

Cloudstation ist quasi ein Pull Backup. Die Server Syno holt sich die Daten von der Quell Syno. Cloudstation geht auch mit Datei Versionierung.

Rysnc geht auch wahlweise in beide Richtungen. Das ist zwar auch ein "Skript" aber wahrscheinlich reicht eine Zeile.

 

[NeoLF]

Die "Beschwerde" an den Synology Support ist schon raus


Danke für die Tipps.

- Cloudstation wäre ja dann aber ein Echtzeit-Backup und würde somit für jede Änderung sofort Netzwerk-Traffic verursachen
und vor allem würde eine irgendwie infiziert Datei auch sofort übertragen und zum Beispiel ein Verschlüsselungstrojaner somit direkt auf die Backup-DS übertragen.
Genau das ist es aber was ich idiotensicher verhindern möchte.
Die Sicherungs-Hirarchie soll von unten nach oben undurchlässig sein.

- ein Rsync-Skript ist ja im Grunde genau das, was UltimateBackup mir durch die einfache Benutzeroberfläche erstellt.
Das ist natürlich eine Option. Wie gesagt, nur enttäuschend, und für mich unverständlich, weshalb es sowas nicht direkt von Synology gibt.
Ich bin ja eigentlich eher davon ausgegangen, dass ich zu blöd war das entsprechende "Paket" zu finden.

 

[Iarn]

Cloudstation hätte allerdings den Vorteil, das die Dateien versioniert sind. Du kannst also auf ein früheres Dateiversion zurück springen. Handelt es sich um relativ kleine Ordner, kannst Du die vorgehaltenen Versionen großzügig ansetzen.

 

[NeoLF]

So wie ich es verstanden habe würde ein Verschlüsselungs-Trojaner das Versions-Verzeichnis bzw. die im selben Ordner abgelegte Versions-Datei einfach mitverschlüsseln.
Alle Versionen wären also direkt mit verloren.

Ich lasse mich da aber gerne eines besseren belehren.

 

[Fusion]

Kommt immer darauf an, wo der Trojaner/Ransomware unterwegs ist, auf dem Client oder direkt auf dem NAS selber.
Die Snapshot-Ordner für die Vorgänger Versionen sind normal read-only eingebunden, wenn man sie überhaupt einblendet (muss man, wenn man den Benutzern selbst erlauben will Vorgänger wieder herzustellen)

Wenn die Ransomware auch direkt auf der DS läuft, also via Webserver oder sonst wie das Linux kompromittiert hat und auch eine Lücke zur Rechte-Eskalation vorhanden ist und damit dann an root kommt, hilft nur ein externes Backup.
Dann hängt es noch davon ab, ob es ein Spezialist ist, der dann auch versucht, die Syno Programme und damit extern angelegte backups anzugreifen oder nur auf dem NAS tätig wird.
Im Worst-Case hilft tatsächlich nur ein Pull-basiertes Backup.

 

[Andy14]

Im eigenen Netz habe ich die entsprechenden Ordner von meiner DS110j als Remote Ordner in der DS215j eingebunden die dann diese in Backup schiebt.
Im WAN sehe ich da aber auch nur die Möglichkeit mit rsync.
Wie haben denn Stardom / Netgear ein "pull" backup im WAN gelöst?

 

[Ar-Al]

Im Worst-Case hilft tatsächlich nur ein Pull-basiertes Backup.

Die Ransomware auf dem PC wird doch wohl nur einmal eine Datei auf dem PC und dem verbundenen NAS verschlüsseln und sie danach nicht mehr anfassen, oder?
Wenn ich das Backup von NAS1 nach NAS2 mit rsync und der Option -b mache, wird eine vorhandene Datei mit einer Tilde angelegt und nicht überschrieben. Dann kann die Ransomware doch fast keine Daten vernichten, oder?

 

[Fusion]

@Ar-Al - keine Ahnung wie Ransomware so geschrieben ist. Vielleicht suchen sie auch immer weiter nach unverschlüsselten Dateien. Kann ich dir nicht beantworten.
rsync mit Backup Option und backup-dir und definierbarem Suffix legt dann Kopien an. Bin mir nicht sicher ob eine oder beliebig viele.

Damach will man also noch eine Rotation der Sicherungsversionen um das Anwachsen zu begrenzen.
Da gibt es diverse Scripte
rsnapshot (https://www.thomas-krenn.com/de/wiki/Backup_unter_Linux_mit_rsnapshot)
https://github.com/mattanja/rsync-backup-and-rotate
https://www.heinlein-support.de/howto/backups-und-snapshots-von-linux-servern-mit-rsync-und-ssh
und andere
Oder auch das Ultimate Backup Paket der Community.
Auch von rsnapshot gibt es glaube ein Paket, aber sonst eben selbst geschriebene Scripte.

Dann hängt es ganz davon ab, wann du die Ransomware entdeckst, und dann noch eine nicht kompromittierte Sicherung existiert.
Aber ja, gegen Ransomware auf dem Client hilft das, wie auch schon in #8 erwähnt. Die gr0ße Mehrheit an 0815 Ransomware die man sich auf dem Client per Drive-by surf/download, email attachments, dateilose Infektion einfängt wird vermutlich schon durch Snapshots auf dem NAS "neutralisiert", wenn diese Stunden/Tage zurück reichen (da die Snapshots für Benutzer read-only sind).
Sollte sich eine Ransomware/Trojaner auf dem NAS (Linux) selbst einschleichen hängt es eben davon ab wie spezialisiert und ausgefuchst diese geschrieben ist in wie weit dann Backups von NAS zu extern noch kompromittiert sein könnten.
Mögliche Angriffs-Szenarien sind vermutlich fließend im Übergang, je komplexer, desto seltener.
Wie sich die Häufigkeit verteilt kann ich auch nicht sagen. Vielleicht hat man mit dem Backup auf NAS und versioniert nach extern schon 99% aller Angriffe abgefedert, vielleicht auch nicht.
Deshalb habe ich nur mal gedanklich die Eskalationsstufen durchgespielt mit immer komplexeren / weniger wahrscheinlichen Angriffen.

 

[Ar-Al]

Da gibt es diverse Scripte

Meine Backupstrategie geht ja in die Richtung, dass ich mit rsync vom NAS1 im selben Haus auf NAS3 und in zwei anderen Häusern (30 und 500 km entfernt) auf NAS2 und NAS4 in der selben Ordnerstruktur sichere. Jedes NAS kann sofort verwendet werden, wenn NAS1 ausfällt.
So habe ich mit der Option -b eine Sicherungskopie mit Tilde und zusätzlich NAS4 mit Daten vom Vorvortag. Hardlinks kann ich dafür ja nicht brauchen, da es ja Zwillinge von NAS1 sein sollen.
Eine externe USB-Festplatte wird monatlich von NAS1 erzeugt und liegt im Tresor.

Wenn eine Ransomware auf einem PC zuschlägt, dann ist erstmal nur NAS1 betroffen.
Die Windows-PCs (Windows 10) sichere ich mit c't-WIMage nur, wenn Programme geändert wurden. Ein paar Daten sichert ein kleiner Batch.

 

[NeoLF]

Erstmal Danke für Eure Antworten
und sorry, dass ich mich nicht direkt zurückgemeldet habe
(Zeitmangel und dann musste ich auch noch etwas zu der Sache recherchieren...)

Kommt immer darauf an, wo der Trojaner/Ransomware unterwegs ist, auf dem Client oder direkt auf dem NAS selber.

Wenn die Ransomware auch direkt auf der DS läuft, also via Webserver oder sonst wie das Linux kompromittiert hat und auch eine Lücke zur Rechte-Eskalation vorhanden ist und damit dann an root kommt, hilft nur ein externes Backup.
Dann hängt es noch davon ab, ob es ein Spezialist ist, der dann auch versucht, die Syno Programme und damit extern angelegte backups anzugreifen oder nur auf dem NAS tätig wird.
Im Worst-Case hilft tatsächlich nur ein Pull-basiertes Backup.

Bei mir sind die entsprechenden Ordner je nach Benutzer als Netzlaufwerk auf den entprechenden Computern eingerichtet.
Man "arbeitet" also direkt mit den Daten auf der SynologyDS.
Somit denke ich dass ein Trojaner/Ransomware also auch direkt auf diesem Netzlaufwerk auf der Synology wüten wird.

Solange der betroffene Benutzer keine Admin-Rechte hat wird sich das natürlich auf die für Ihn freigegebenen Ordner beschränken. (und mit HyperBackup wiederherstellen lassen)

Nun bin ich aber kein Netzwerk Spezialist und möchte vermeiden dass ein Fehler meinerseits
oder ein irgendwo in den windows-Tiefen noch abgespeicherter Admin-Zugang
dem Trojaner/Ransomware die Möglichkeit gibt als Admin die ganze SynologyDS zu verschlüsseln
oder womöglich über die HyperBackup-Zugangsrechte auch noch eine das Backup auf der nächsten Synology verschlüsselt.


Deshalb denke ich dass ein Pull-basiertes Backup einfach im wahrsten Sinne des Wortes IDIOTENsicherer ist

Die Snapshot-Ordner für die Vorgänger Versionen sind normal read-only eingebunden, wenn man sie überhaupt einblendet (muss man, wenn man den Benutzern selbst erlauben will Vorgänger wieder herzustellen)

Wenn schon Snapshot, sollte der Benutzer schon ohne selbst Vorgänger wieder herstellen können...
Aber ein Trojaner/Ransomware schnappt sich doch dann einfach den Ordner "#snapshot" und verschlüsselt den.
In der Synology-Wissensdatenbank steht dazu auch:
"Benutzer dürfen nur in der Schnappschusskopie schreiben, wenn ihr Benutzerkonto zum Zeitpunkt der Erstellung des Schnappschusses bereits erstellt war und Ihnen die Berechtigung zum Lesen des freigegebenen Ordners gewährt wurde."
Also kann der Benutzer(also auch der Trojaner/Ransomware) doch nicht nur lesen sondern auch schreiben, oder!?

 

[NeoLF]

Im eigenen Netz habe ich die entsprechenden Ordner von meiner DS110j als Remote Ordner in der DS215j eingebunden die dann diese in Backup schiebt.
Im WAN sehe ich da aber auch nur die Möglichkeit mit rsync.

Wie werden die Ordner bei Dir "in das Backup geschoben"?

Die Lösung hatte ich auch schon überlegt.
Ich habe aber gelesen, dass HyperBackup aus einem Remote-Ordner nicht zuverlässig alle Dateien backupt und evtl im Backup sogar nur einen leeren Ordner anlegt.

Wie haben denn Stardom / Netgear ein "pull" backup im WAN gelöst?

Netgear arbeitet mit rsync.

Stardom weiss ich nicht mehr.

 

[NeoLF]

Bei "Tilde", "Batch" und irgendwelchen Scripten verstehe ich erstmal nur Bahnhof,
und auch wenn ich mir das Wissen nun Aneigne werde ich in 5Jahren wen dann vielleicht mal Probleme aufkommen keine Ahnung mehr davon haben, was zu tun ist.
Ich meinem Alltag hab ich mit programmieren nicht so viel zu tun.



Ich habe mir jetzt folgende Backupstrategie ausgedacht:

DS218+ sichert ihre Daten per HyperBackup auf die Ds412+
DS412+ sichert ihre Daten per HyperBackup auf die Ds218+

(Auf dieser Ebene vertraue ich also mal voll auf das was Synology für gut hält
und die beiden DSn sichern sich auf die jeweils andere)

Eine Ebene darüber lasse ich (wöchentlich oder evtl. monatlich) mein Netgear ReadyNas NV+ die jeweiligen Daten
jeweils von den beiden DSn per rsync-PullBackup ziehen.


Das erscheint mir jetzt am sinnvollsten.




Unsicher bin ich mir jetzt noch darüber ob ich ausser HyperBackup für die Backupfunktion
auch noch Snapshot&Replication laufen lassen soll, nur um dem jeweiligen Benutzer die Möglichkeit zu bieten selbst Vorgänger wieder herstellen können.

Allerdings liegt der Ordner "#snapshot" ja mit im Verzeichnis und würde dann von HyperBackup mitgesichert, was doch dann sicherlich die Backupgröße weiter aufpumpt, oder?

Und..... Snapshot&Replication sichert "nur" stündlich nicht wie CloudStationServer bei jeder Änderung.
Somit wäre z.B. ein während einer Stunde falsch geändertes WordDokument dann doch nicht über Snapshot wieder herstellbar.....blöd

Um diesen Luxus auch noch abzudecken denke ich nun daran auf den Windows "Dateiversionsverlauf" zu aktivieren und in einen "Backup" Ordner auf der Synology laufen zu lassen.
Damit könnte dann hoffentlich jeder Nutzer einfach per Rechtsklick seine früheren Dateiversionen wieder herstellen. (unabhängig von Zugriffsrechten auf HyperBackup)

 

[Fusion]

Der Windows Datei-Versionsverlauf greift meines Wissens eben auf diesen #snapshots Ordner zurück, wenn er eingeblendet ist.
Ob der Nutzer in der Netzwerkfreigabe Schreibrechte auf diesen Ordner hat kannst du ja mal probieren.
Ich hab den Snapshot ordner nicht eingeblendet und stelle (5 Minuten snaps, behalte dann nur ausgewählte davon für länger als eine Stunde) Versionen als admin wieder her falls nötig.
ist bei mir relativ überschaubar was die Nutzeranzahl angeht und kommt auch nicht so oft vor.
Die "replication" nutze ich gar nicht.
Von der Arbeitsdaten gehen hyper Backups auf Remote DS und ab und an (von Sachen die eh nicht erstellt, benutzt, dann gelöscht werden) noch Kopien auf externe Datenträger die hier und da in Schränken liegen.
Backups von Media Storage laufen auch per rsyn-pull (Ultimate Backup) von einer Backup DS aus und 2-3 Mal im jahr noch auf externe Platten. Da ändert sich im Allgemeinen nicht wahnsinnig viel bei Sachen die dann schon mal im Archiv liegen.