Aufbau Datensicherung Linux

Beau Riese · 12. Nov 2020

Hallo,
hier habe ich einen Linux-Rechner, der ein paar TB in einem NAS (RS3617xs+) lagert, das per iSCSI angeschlossen ist.
Diese Daten möchte ich auf einem zweiten NAS (RS1219+) sichern; als Software dafür habe ich mir Borgbackup ausgekuckt. Dieses schreibt die Backupdaten in Dateien auf Festplatten. Diese möchte ich Datei-weise verschlüsseln; ecrypt bzw. cryptfs scheint mir geeignet dafür. Dieses zweite NAS möchte ich auf ein drittes, Offsite-NAS spiegeln, etwa mit rsync durch einen Tunnel. Für diese Spiegelung möchte ich aber keinen externen Rechner bemühen, sondern es möglichst durch die beiden Synology-NASse autonom und automatisiert erledigen lassen. Soweit meine Idee eines Grobkonzepts.

ecrypt ließe sich wohl am besten (oder überhaupt nur?) verwenden, wenn direkter Zugriff auf die Platten gegeben ist, also per iSCSI. Wenn ich dies tue, ist es aber wohl nichts mit der eigenständigen Replikation auf das Offsite-NAS. Als Alternative sähe ich nfs, das ich auf den Rechner mounten könnte, dann wäre die Replikation auf das Offsite-NAS wohl möglich. Doch die Datei-weise Verschlüsselung per ecrypt wäre dann nicht möglich, befürchte ich.

Die Replikation müsste grundsätzlich mit Hyper Backup möglich sein, denn wie ich es verstanden habe, ist das nichts anderes als rsync mit grafischer Bedienoberfläche.

Als erstes möchte ich gern über meine Irrtümer aufgeklärt werden.

Und wenn ich das dann verstanden habe, suche ich nach einem Weg, das bestmöglich umzusetzen. Details sind dabei hochwillkommen!

Danke schonmal...

Anzeige · 12. Nov 2020

Hallo Beau Riese,

Bücher und Hardware zum Thema gibt es bei Amazon: Aufbau Datensicherung Linux

blurrrr · 13. Nov 2020

https://www.synology.com/de-de/dsm/feature/snapshot_replication ? ??

Beau Riese · 13. Nov 2020

blurrrr schrieb:
https://www.synology.com/de-de/dsm/feature/snapshot_replication ? ??

Wenn ich das richtig verstehe, wird da nur die Teilungsfähigkeit von btrfs genutzt. Wenn das so ist, ist das keine Datensicherung; das hilft dann allenfalls, irrtümliche Änderungen zu widerrufen, schützt jedoch nicht vor Datenverlust. Ist das richtig so?

Mein Ziel ist ein klassisches 3-2-1-Backup, also drei Kopien auf zwei Datenträgern und eine an einem anderen Ort. Das Ganze dann sicher verschlüsselt.

TechX · 13. Nov 2020

Warum nicht durchgängig mit Hyperbackup?
Dann würde jede Station eigenständig auf die andere sichern.

Beau Riese · 13. Nov 2020

Das würde bei der ersten Station schon nicht gehen, denn das ist ein vollverschlüsseltes Volume von 55TB -das könnte dann nur komplett übertragen werden, was jeweils mehrere Tage dauern würde -über das LAN, über eine externe Leitung entsprechend länger. Darüber hinaus sichert Borgbackup Blockweise, also nur die veränderten Blöcke. So etwas habe ich mit NDB (NoDoubleBlocks) dereinst unter OS/2 benutzt und dabei gestaunt, wie enorm platzsparend dieses Verfahren ist. Dabei hat man dann auch noch "ganz nebenbei" eine vollständige Versionierung, wie gesagt bei geringstmöglichem Platzbedarf. Rsync & Verwandte benötigen dafür ein vielfaches davon. Ich kenne keine andere OSS, die ähnliches bietet.

Für die Spiegelung nach extern genügt dann freilich rsync, oder hier dann eben Hyper Backup. Dazu muss es die einzelnen Dateien aber auch lesen können... Und genau das ist der Kern meiner Frage.

blurrrr · 13. Nov 2020

Beau Riese schrieb:
denn das ist ein vollverschlüsseltes Volume

Ich hoffe Du redest nicht von der Syno-Share-Verschlüsselung, denn sowas hilft nur bei Diebstahl und zum arbeiten muss das Ding ja eh entschlüsselt sein (ausser Du hast selbst nochmal einen verschlüsselten Container darin erzeugt). Also hat sich Deine Frage eigentlich auch direkt wieder erledigt... Volume verschlüsselt - nix is - Volume entschlüsselt - Daten zugreifbar (auch für das Backup)

Beau Riese · 13. Nov 2020

"Syno-Share" müsste ich erst einmal googlen, denn ich weiß nicht, was das ist. Für die Verschlüsselung des Produktions-Volumes verwende ich LUKS. Das LUKS-Volume ist zur Laufzeit transparent entschlüsselt für den Rechner, der es betreibt; für andere Rechner (auch für Synology-NASse), also von außen, ist es ein einziger großer Datenhaufen ohne erkennbare Struktur.
Das Backup soll in einzelnen, verschlüsselten Dateien abgelegt werden, also nicht in einem verschlüsselten Container à la Veracrypt o.ä. Soweit ich mich belesen habe, sorgt ecrypt als eine Art Dateisystem-Aufsatz dafür, dass Dateien in festgelegten Verzeichnissen verschlüsselt gespeichert werden; dies möchte ich nutzen. Diese Dateien werden nach dem Schreiben nicht mehr geändert; vielmehr werden Änderungen der ursprünglichen Daten als ergänzende Dateien hinzugefügt und natürlich ebenfalls verschlüsselt. Man kann die Dateien also auslesen, damit aber nichts anfangen. Damit sind sie ein hervorragendes "Opfer" für rsync, um sie anderswohin zu spiegeln.

Voraussichtlich braucht ecrypt (bin nicht ganz sicher) direkten Plattenzugriff, den ich nach meiner bisherigen Kenntnis nur mit iSCSI erhalten kann (ist das so?). Wenn dies auch per nfs funktionieren würde (tut es das?), würde es dann damit funktionieren?