NAS soll Backup Datei zyklisch vom Linux Server ziehen

[Fipsikato]

Hallo zusammen,

ich würde gern realisieren, dass mein NAS DS 720 2x täglich eine backup Datei von meinem Linux Server zieht.

Wie wäre das am einfachsten möglich?
Ein bash script auf dem nas welches per ssh zugreift und per RSynch kopiert?

Oder active backup und den Port im Internet aufmachen?

Viele Grüße
Annika

 

[plang.pl]

Moin und willkommen hier im Forum!
Wieso Port im Internet aufmachen? Steht der Linux-Server extern?
Ich selbst sichere einzelne Ordner von meinen Linux-Servern mit Active Backup weg. Dafür brauchts nicht mal den Agent auf den Servern. Der Active Backup Server auf der DS kann sich die Dateien via SMB ziehen.

 

[Fipsikato]

Moin, ja der Linux server steht im Rechenzentrum bei Hetzner.

 

[plang.pl]

Hast du dahin keine Site2Site VPN Verbindung?

 

[Fipsikato]

Nein. Wäre das der einfachste Weg?
Nas als Vpn server und den Linux server als vpn client?

Wobei: Dann könnte ein Angreifer die backups später löschen oder?

 

[plang.pl]

Was soll denn der Linux Server machen? Wenn du da regelmäßig vom Heimnetz aus verkehren willst, wäre ein S2S VPN Tunnel wohl die beste Wahl.
Wenns nur ums Backup geht, reicht auch von DS zu Linux Server. Eine SMB-Verbindung über das Internet ist keine gute Option. Das filtern die meisten Anbieter ohnehin raus. Ich würde auf jeden Fall VPN nutzen. Wenn du eine FritzBox hast, kann die auch den VPN Tunnel aufbauen. Dort kannst du dann bestimmte Geräte erlauben, die durch den Tunnel dürfen.

 

[plang.pl]

könnte ein Angreifer die backups später löschen oder?

Je nachdem, wie du das aufziehst. Du kannst die DS das VPN auch zeitgesteuert auf- und abbauen lassen, sodass es nur während des Backups eine Verbindung gibt. Link

 

[Ulfhednir]

Wobei: Dann könnte ein Angreifer die backups später löschen oder?

Du könntest die Daten ja auch "nur" in einem Share-Verzeichnis zwischenparken und dann auf dem NAS intern von A nach B verschieben.

 

[plang.pl]

Und man muss ja auch dazusagen, dass wenn man tatsächlich ein Pull-Backup realisiert, so wie das AB4B ja tut, hat man den Vorteil, dass auf dem zu backuppenden System ohnehin keine Zugangsdaten zur DS vorhanden sind

 

[Fipsikato]

Wie wäre es denn, per ssh von der Synology auf den linux server zuzugreifen und dann das archiv ziehen?
Sollte das script im docker container laufen?

 

[plang.pl]

Warum via Docker? Script kannst du auch einfach in der Aufgabenplanung der DS hinterlegen

 

[Fipsikato]

Ok. Cool.
Und wie kann ich ein ssh cert generieren?

 

[plang.pl]

So wie hier beschrieben

 

[Fipsikato]

Dankeschön! Super Anleitung.
Und wie komme ich in die Console? Ssh aktivieren auf der Synology oder geht das auch eine Softwaremöglichkeit per browser innerhalb des Synology Systems?

 

[plang.pl]

https://kb.synology.com/de-de/DSM/tutorial/How_to_login_to_DSM_with_root_permission_via_SSH_Telnet
Nein, im Interface der DS geht das nicht

 

[plang.pl]

@Fipsikato Hast du alles hinbekommen?

 

[nas-central.de]

Wir empfehlen folgende Lösung.

Poll Backup per rsync mit ssh key Authentifizierung, so wie das hier im Beitrag ja schon angesprochen wurde.

Um es weiter abzusichern, kannst du den ssh Port verstecken und Scans per Netfilter unterbinden.

Das NAS hat jetzt aber zu viele Rechte und könnte Backup und Quelle löschen. Deswegen empfiehlt es sich für das Backup einen eigenen Nutzer auf dem Server anzulegen, der nur ein change root Zugang auf ein per mount bind gemountetes Verzeichnis mit read only Rechten hat.

So setzen wir kritische Linux Server Backups um. Das ist allerdings für jemanden, der an der Linux Shell nicht zu Hause ist nicht ganz einfach zu realisieren. Es hängt auch von der Distribution ab, da sich das mount bind unterschiedlich verhält.

 

[Fipsikato]

Wir mussten kurzfristig ein Feature fertig bauen.
Wir gehen jetzt wieder an die Umsetzung des Backups. Ich melde mich asap mit den Neuigkeiten.