Регламенты резервного копирования


Спаси и сохрани!

Молитва

В условиях поголовной информационной
неграмотности населения из всех действий
для нас главнейшим является резервное копирование

В связи с очередным криптолокером мы сочли разумным провести сравнительный анализ применяемых нами регламентов резервного копирования файлов, хранимых на Windows системах разного построения

Полностью надёжный регламент для вируталки

rsba - пример основного файла

Краткое описание

(Ежедневно) паузим виртуалку, монтируем её диски в RO на хост системе и делаем rsync бекап на другой сервер, после чего размонтируем и размораживаем виртуалку. При этом в скрипте бекапа применяются хард линки к файлам, в результате имеем "последнее бекапленное состояние" и кучу каталогов с датами - снимки на соответствующие моменты времени.

Главные плюсы данного регламента:

  1. залоченность файлов пофиг
  2. имеется разумный интерфейс для восстановления конкретных файлов конечным пользователем

Главные минусы:

  1. усложнение используемых средств на серверах
  2. наличие в принципе доступа на сервер бекапа (это не раб станция)
  3. нет гарантий консистентности файлов баз данных, например.
  4. нет разумных способов сохранить все виндовые ACL на каталоги и файлы.
  5. простое перемещение из подкаталога в подкаталог большого размера файлов увеличивает размер бекапа на этот размер
  6. отсутствует сжатие файлов

Установка и настройка

На виндовом сервере в виртуалке
Ничего не делать

На UNIX host-машины

  1. создать пользователя, который будет коннектиться к бекапному серверу
  2. создать ему ключи ипубличный ключ передать на бекапный сервер
  3. отредактировать rsba.sh - ДОБАВИТЬ старт/стоп и монтирование диска вируталки
  4. отредактировать rsba.sh - прочие параметры
  5. создать и отредактировать backup.ini

На бекапном сервере

  1. создать пользователя fts_backup и каталог для бекапов
  2. добавить в authorized_keys публичный ключ
  3. создать пользователя fts_restore и дать ему права на чтение каталога бэкапов

Создание первого полного бекапа

rsba.sh

Ежедневный бекап

На UNIX host машине в кроне запускать rsba.sh

Восстановление выборочное

  1. На виндовом сервере создать временные секретный и публичный ключи для работы по SSH программой puttygen
  2. Передать публичный ключ на бекапный сервер и внести его в /home/fts_restore/.ssh/authorized_keys
  3. Ограничить, если необходимо, доступ строго необходимыми каталогами пользователю fts_restore
  4. Из Far'a в NetBox создать линк на SSH с использованием свежесозданного ключа
  5. Найти нужные файлы нужных версий по подкаталогам и скопировать
  6. Удалить публичный ключ из /home/fts_restore/.ssh/authorized_keys
  7. Удалить временные ключи с виндового сервера.

Полностью надёжный регламент для файлсервера

Основной файл
По этому же регламенту действует backuppc, однако у него есть веб-интерфейс к файлам в резервной копии.

Краткое описание

Рабочая станция собирает с файлсервера файло, используя функциональность smbclient, при этом сохраняя флажок "когда мы последний раз это делали" и используя его в соотв ключике smbclient/tar. получаются .tar.gz файлы. Чтобы они были поменьше - работаем не с одним файлом для всей шары, а обходим первый уроень каталогов в ней.

Главные плюсы данного регламента:

  1. гарантии отсутствия обращения к носителю с бекапом откуда либо (ибо это по сути и всегда рабочая станция).
  2. минимальность используемых средств как на сервере, так и на рабочей станции
  3. возможность произвольно включать-выключать и увозить рабочую станцию с бекапом в рамках регламента

Главные минусы:

  1. невозможность сохранения некоторых залоченных программами файлов - виндовый файлсервер их тупо не отдаёт
  2. нет разумных способов сохранить все виндовые ACL на каталоги и файлы.

Установка и настройка

На виндовом сервере

  1. создать специального пользователя дать ему доступ ко всем нужным папкам и доступ по сети

На UNIX рабочей станции

  1. Установить samba и smbclient
  2. Отредактировать daybackup и - в начале daybackup общие параметры, в конце его - вызов функций на упаковку конкретных файлов и каталогов
  3. Проверить, работает ли как бекап, так и восставновление!

Создание первого полного бекапа

Запустить daybackup Full

Ежедневный бекап

В кроне запускать daybackup Daily

Восстановление выборочное

Отредактировать daybackup - прописать в секцию восстановления - что восстанавливать
Запустить daybackup Restore

не полностью надёжный - на основе Acronis Backup.

Краткое описание

Acronis создаёт инкрементальные архивы на удалённом хранилище. Работает в фоне на виндовом сервере.

Главные плюсы данного регламента:

  1. можно сохранить все виндовые ACL на каталоги и файлы.
  2. полноценный интерфейс для пользователя
  3. полноценный интерфейс для виндового админа
  4. гарантии консистентности файлов баз данных
  5. отсутствие проблем доступа к файлам - акронис действует в рамках винды, но "выше" драйвера файловой системы.
  6. можно применять файлсервер на любой ОС.
  7. не надо стопить/ребутить систему

Главные минусы:

  1. не страхует от взлома виндового сервера - злоумышленник-виндовый админ получает всё, в том числе и права убить бекап!.
  2. отсутствие правильной логики "только запись в хранилище - только чтение из хранилища" (которая в случае двух полностью надёжных регламентов обеспечивает невозможность уничтожения бекапа с захваченного виндового сервера).

Установка и настройка

На бекапном сервере

Создаётся пользователь, к которому будет обращаться Acronis по sftp

На виндовом сервере

Ставится Acronis True Image 11 Server
Настраивается - какие папки бекапить

Создание первого полного бекапа

Запустить руками настроенный акронис и убедиться в результате

Ежедневный бекап

Акронис делает по расписанию.

Восстановление выборочное

Запустить управление акронисом, выбрать архив за нужную дату - выбрать нужное - восстановить

(C) 2014 Sergej Qkowlew по мотивам и в развитие собственного же текста