Macrium-Backups auf einer Syno per Pull auf zweite Syno (Ransomware)

saschda

Benutzer
Mitglied seit
08. Dez 2022
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo
Ich lese hier seit einiger Zeit mit, habe viel gelernt, bin aber noch unsicher, ob ich richtig unterwegs bin.

Ziel:
Schutz meiner Backups vor Ransomware

Setup:
Mein Arbeits-PC (Fotograf) wird mittels Macrium in angepassten "Grandfather-Father-Son"-Versionen laufwerksweise (vier Jobs für vier Laufwerke) auf eine DS1618+ gesichert. Jedes Laufwerk wird so ca. 3x/Woche gesichert.
Mein User hat Schreibzugriff auf die Freigaben dieser DS ausser auf die Backupordner, die sind nur lesend zu erreichen. Das Passwort für den separaten Backup-User ist aber natürlich in Macrium gespeichert...
Eine DS220+ ist über die zweite Netzwerkbuchse der DS1618+ direkt verbunden, kein weiterer Teilnehmer. Auf der anderen ist sie ebenfalls temporär (zum Prüfen, ob Backups gelaufen sind) mit dem Heimnetz verbunden, an dem die DS1618+ natürlich auch hängt.
Auf der DS220+ läuft nur Active Backup for Business welches einmal in der Woche die Backup-Freigaben (SMB) der DS1618+ pullt, dies mit einem User, welcher keine Schreibrechte auf der DS1618+ hat.
Beide DS haben komplexe Passwörter und beide Admin-User (welche anders heissen) sind jeweils mit 2FA geschützt.

Überlegungen:
Sollte mein PC verschlüsselt werden, wird s.w. auch die verbundene DS1618+ inkl. Backups verschlüsselt, ein Trojaner wird ziemlich sicher die Zugangsdaten für den Backupuser finden können. Dank der DS220+, welche (nach noch unklarer Strategie) diese Backups nur per Pull sichert und deren Zugangsdaten nirgends hinterlegt sind, sollte ich zu einem Backup vor dem Befall zurückkehren können.

Was meint ihr dazu? Und was wäre eine sinnvolle Aufbewahrungsstrategie für die DS220+, die Dateien von Macrium sind zumindest bei Fulls schnell mal in einstelliger Terabyte-Grösse, ansonsten kommen vielleicht 100-300GB pro Woche dazu mit der aktuellen Macrium-Strategie.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Für Pull-Backup schau dir mal ActiveBackupForBusiness an. Ist kostenlos dabei, benötigt + und BTRFS.

Für andere Risiken die Backup-DS entweder „woanders“ aufstellen, oder in Abständen Backups zum Auslagern auf HDDs ziehen. Die aktuellen Projekte hast du ja vermutlich in der (Creative) Cloud.
 

saschda

Benutzer
Mitglied seit
08. Dez 2022
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Genau, AB4B habe ich im Einsatz. In die Klaut schicke ich meine Projekte nicht, dafür mache ich regelmässig Backups.
Ich habe aber tatsächlich noch eine grosse Festplatte, die ich ein paar Mal im Jahr an meinen Arbeits-PC klemme und alles sichere. Aber das ist der Not-Not-Notnagel, dafür bin ich zu faul resp. vergesse es immer lange.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Ooops, überlesen ….

Was sind die Risiken ?

Klassisch Feuer, Wasser, Diebstahl, der Benutzer. Inzwischen immer heftiger Ransomware.

Dagegen hilft die 3-2-1-Strategie. Und bitte das Backup versionieren, damit man auf frühere Stände zurück gehen kann. Das heißt automatisch, das Backup ist größer als der Originalbestand !

Mit dem Auslagern: Besser man nimmt 2 HDDs. Eine ist vor Ort, die zweite ausgelagert. Und regelmäßig (z.B. 1x im Monat) wird getauscht. Das klappt besser als 1x Holen-Sichern-Wegbringen.

Noch besser ist natürlich die ausgelagerte DS.

Und wenn ABfB schon läuft: Man kann auch PCs direkt damit sichern.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat