В условиях поголовной информационной
неграмотности населения из всех действий
для нас главнейшим является резервное копирование
В связи с очередным криптолокером
мы сочли разумным провести сравнительный анализ применяемых нами регламентов резервного
копирования файлов, хранимых на Windows системах разного построения
(Ежедневно) паузим виртуалку, монтируем её диски в RO на хост системе и делаем rsync бекап на другой сервер, после чего размонтируем и размораживаем виртуалку. При этом в скрипте бекапа применяются хард линки к файлам, в результате имеем "последнее бекапленное состояние" и кучу каталогов с датами - снимки на соответствующие моменты времени.
Главные плюсы данного регламента:
залоченность файлов пофиг
имеется разумный интерфейс для восстановления конкретных файлов конечным пользователем
Главные минусы:
усложнение используемых средств на серверах
наличие в принципе доступа на сервер бекапа (это не раб станция)
нет гарантий консистентности файлов баз данных, например.
нет разумных способов сохранить все виндовые ACL на каталоги и файлы.
простое перемещение из подкаталога в подкаталог большого размера файлов увеличивает размер бекапа на этот размер
отсутствует сжатие файлов
Установка и настройка
На виндовом сервере в виртуалке Ничего не делать
На UNIX host-машины
создать пользователя, который будет коннектиться к бекапному серверу
создать ему ключи ипубличный ключ передать на бекапный сервер
отредактировать rsba.sh - ДОБАВИТЬ старт/стоп и монтирование диска вируталки
отредактировать rsba.sh - прочие параметры
создать и отредактировать backup.ini
На бекапном сервере
создать пользователя fts_backup и каталог для бекапов
добавить в authorized_keys публичный ключ
создать пользователя fts_restore и дать ему права на чтение каталога бэкапов
Создание первого полного бекапа
rsba.sh
Ежедневный бекап
На UNIX host машине в кроне запускать rsba.sh
Восстановление выборочное
На виндовом сервере создать временные секретный и публичный ключи для работы по SSH программой puttygen
Передать публичный ключ на бекапный сервер и внести его в /home/fts_restore/.ssh/authorized_keys
Ограничить, если необходимо, доступ строго необходимыми каталогами пользователю fts_restore
Из Far'a в NetBox создать линк на SSH с использованием свежесозданного ключа
Найти нужные файлы нужных версий по подкаталогам и скопировать
Удалить публичный ключ из /home/fts_restore/.ssh/authorized_keys
Удалить временные ключи с виндового сервера.
Полностью надёжный регламент для файлсервера
Основной файл По этому же регламенту действует backuppc, однако у него есть
веб-интерфейс к файлам в резервной копии.
Краткое описание
Рабочая станция собирает с файлсервера файло, используя функциональность smbclient, при этом сохраняя флажок "когда мы последний раз это делали" и используя его в соотв ключике smbclient/tar. получаются .tar.gz файлы. Чтобы они были поменьше - работаем не с одним файлом для всей шары, а обходим первый уроень каталогов в ней.
Главные плюсы данного регламента:
гарантии отсутствия обращения к носителю с бекапом откуда либо (ибо это по сути и всегда рабочая станция).
минимальность используемых средств как на сервере, так и на рабочей станции
возможность произвольно включать-выключать и увозить рабочую станцию с бекапом в рамках регламента
Главные минусы:
невозможность сохранения некоторых залоченных программами файлов - виндовый файлсервер их тупо не отдаёт
нет разумных способов сохранить все виндовые ACL на каталоги и файлы.
Установка и настройка
На виндовом сервере
создать специального пользователя дать ему доступ ко всем нужным папкам и доступ по сети
На UNIX рабочей станции
Установить samba и smbclient
Отредактировать daybackup и - в начале daybackup общие параметры, в конце его - вызов функций на упаковку конкретных файлов и каталогов
Проверить, работает ли как бекап, так и восставновление!
Создание первого полного бекапа
Запустить daybackup Full
Ежедневный бекап
В кроне запускать daybackup Daily
Восстановление выборочное
Отредактировать daybackup - прописать в секцию восстановления - что восстанавливать Запустить daybackup Restore
не полностью надёжный - на основе Acronis Backup.
Краткое описание
Acronis создаёт инкрементальные архивы на удалённом хранилище. Работает в фоне на виндовом сервере.
Главные плюсы данного регламента:
можно сохранить все виндовые ACL на каталоги и файлы.
полноценный интерфейс для пользователя
полноценный интерфейс для виндового админа
гарантии консистентности файлов баз данных
отсутствие проблем доступа к файлам - акронис действует в рамках винды, но "выше" драйвера файловой системы.
можно применять файлсервер на любой ОС.
не надо стопить/ребутить систему
Главные минусы:
не страхует от взлома виндового сервера - злоумышленник-виндовый админ получает всё, в том числе и права убить бекап!.
отсутствие правильной логики "только запись в хранилище - только чтение из хранилища" (которая в случае двух полностью надёжных регламентов обеспечивает невозможность уничтожения бекапа с захваченного виндового сервера).
Установка и настройка
На бекапном сервере
Создаётся пользователь, к которому будет обращаться Acronis по sftp