(Neue) Backup-Strategie gesucht - Hyper Backup migration?

[callipo]

Hallo *,
ich habe derzeit eine (A) DS215j mit 2x3TB SHR die per Hyper-Backup alle 2 Tage die wichtigen Dateien zu einer Remote DS112 auf ein USB_SHARE 2TB(1TB benutzt) schiebt. Das DS112 wird nicht ausschließlich von mir verwendet. Das Backup ist verschlüsselt.

Alle Daten der DS215j (~2TB) sollen nun auf eine frische (B) DS720+ kopiert/migriert werden. Hier habe ich mich für eine 8TB HDD und eine 2TB SSD entschieden.
Somit wird die DS215j frei und soll als neues Backup Ziel dienen. Das alte USB_SHARE wird an in meinem Haushalt an die die DS720+ geklemmt und dient als lokales Backup-Ziel

Frage 1: Was ist der sinnvollste/sicherste weg, die Daten von A nach B zu schieben. Wann lösche ich danach die Daten von A?
Frage 2: Ich würde gerne die Historie meines Hyper-Backups behalten. Also die Quelle des Backups ändern und in das gleiche Ziel schreiben. Geht das?

Falls Antwort 2 "nein" ist, dann lege ich das alte Hyper Backup File neben ein Neues. Kann ich dann zumindest die Historie der Dateien mitnehmen, die ich über über den Cloud Station Server freigegeben hatte? Hier sollte ich ja auch derzeit lokal auf (A) eine Datei-Versionierung haben.

Frager 3: Sollte ich noch mehr machen, um meine Daten zu sichern? Welches Risiko bleibt?

Ich hatte hier auch noch ähnliche Fragen gestellt, finde aber das Thema passt besser hier her.

Vielen Dank für die Unterstützung.

 

[blurrrr]

Welches Risiko bleibt?

So ganz generell: Irgendein Risiko wird halt "immer" bleiben, nur die Wahrscheinlichkeiten kann man reduzieren. Auch muss man div. Szenarien einzeln betrachten, als da wären z.B.:

- Diebstahl
- Brand
- Viren/Trojaner ("Verschlüsselungstrojaner" wäre hier so ein Stichwort)
- Je nachdem, wie "weit" die örtliche Trennung von einander ist, ggf. auch Dinge wie Blitzeinschlag

...und ich bin mir recht sicher, Dir fallen da sicherlich auch noch weitere Szenarien ein. Für z.B. das Thema Verschlüsselungstrojaner wäre ein gängiges Beispiel z.B. ob Zugangsdaten auf Deinem Client gespeichert sind, wenn ja, wie weitreichend diese sind, was für Möglichkeiten hat man, wenn man Kontrolle über Dein Haupt-NAS erlangt hat und vor allem: wie weit kommt man damit (damit kommt man z.B. auch an die Remote-Backups, usw.)).

Überleg Dir also genau, wie Du Dein Konstrukt erweitern willst, nimm die Szenarien als Hilfestellung und einfach mal checklistenartig durchgehen. Da wo Du kein Haken setzen kannst, solltest Du überlegen, inwiefern Du Dein Konstrukt diesbezüglich noch verbessern könntest (oder es ggf. erweiterst).

 

[callipo]

Hallo @blurrrr,
vielen Dank für die Rückmeldung.
Du gehst ja vor allem auf Frage 3 ein. Gegen Diebstahl Brand Blitz und Donner habe ich mich bereits vor Jahren abgesichert, in dem ich meine Sicherung zuerst bei Amazon und dann (nach Preiserhöhung) auf eine eigene Hardware an einem entfernten Ort abgesichert.

Eine weiterer Threat ist der Angriff durch Ransomware. Ist es tatsächlich ein Szenario, dass der Angriff auch das Remote Backup beschädigt/verschlüsselt? Hier sollte ich über Hyper-Backup relativ safe sei, oder siehst du das anders? Das Ablegen der credentials auf dem NAS kann ich ja nicht verhindern, wenn ich automatisierte Backups fahre.
Das gleiche sehe ich bei den lokalen clients. Ist ein PC im haushalt "infiziert" verschlüsselt er ggf die Daten, die dann synchronisiert werden. Jedoch habe ich dann immer noch unverschlüsselte Versionen im Backup, korrekt?
Hast du konkrete Empfehlungen um das Risiko für Ransomware weiter zu minimieren?


Wie sieht es mit lokalen Backups aus? Bringt es mir etwas (außer Geschwindigkeit bei der Wiederherstellung im Schadensfall) zusätzlich zum Hyper Backup lokal Snapshot Replication zu nutzen? Dazu müsste dann btrfs als Filesystem genutzt werden. Ist das Filesystem grundsätzlich zu empfehlen? In meinem Setup für SSD und HDD? Diese Entscheidung muss ich als erstes treffen Und ich habe weder mit btrfs noch mit Snapshot Replication Erfahrung.
Wenn ich Snapshots der SSD erstelle und auf die HDD schiebe, brauche ich auf der HDD automatisch in etwa den gleichen Speicherplatz. Solange ich den habe, spricht ja erstmal nichts dagegen, korrekt?

 

[blurrrr]

sollte

Nicht "glauben", sondern "wissen" ??

relativ

Ein weeeeeeeeiiiiiiter Begriff.... ?

Hast du konkrete Empfehlungen um das Risiko für Ransomware weiter zu minimieren?

Alles wo die Quelle Zugriff auf das Ziel hat (bzw. auf die Backups selbst) ist per se nicht grade gut dafür geeignet.

Wie sieht es mit lokalen Backups aus? Bringt es mir etwas (außer Geschwindigkeit bei der Wiederherstellung im Schadensfall)

Nein, bis auf die Tatsache (bei externen Medien), dass Du den Datenträger nach dem Backup vom System lösen kannst und entsprechend lagern kannst ("offline").

EDIT: Sorry, wenn ich nicht im Detail auf alles eingehe, da muss jeder sein eigenes (passendes) Konzept finden ?

 

[callipo]

Deine Kommentare sind nicht wirklich konstruktiv und auch keine Hilfestellung.
Also nochmal ohne Konjunktiv: Beschreibe mir gerne aus deiner Erfahrung oder auch deinem Wissen, ein Szenario, in dem meine Daten verloren gehen.
Und wenn du dann auch noch Maßnahmen kennst, die das verhindern, dann nenne mir diese bitte.

EDIT: Sorry, wenn ich nicht im Detail auf alles eingehe, da muss jeder sein eigenes (passendes) Konzept finden

?

 

[Jagnix]

Mache Dich mit der Backup Methode 3-2-1 vertraut. Wenn du diese umsetzt, bist du schon gut dabei.

 

[blurrrr]

?

Was gibt es daran nicht zu verstehen? Die Dinge habe ich Dir oben aufgelistet, WO genau ist das Problem? Die Eigenarbeit? Da biste doch schon voll dabei, einfach nur die o.g. Dinge beachten und dann wird das Konzept schon aufgehen. Das Denken ist allerdings Dir überlassen ("muss" es auch, da Du für die Umgebung verantwortlich ist und nicht irgendwer hier aus dem Forum). Wie gesagt, einfach beachten was gesagt wurde, dann passt das Konzept auch (und als Hilfestellung ggf. eben eine Checkliste). Jeder muss für sich seine eigene Strategie entwickeln, da gibt es nicht "das" Konzept, was einfach auf ALLES passt. (Auch Administratoren haben - komischweise, weiss auch grade garnicht warum - ihre Daseinsberechtigung....)

Deine Kommentare sind nicht wirklich konstruktiv und auch keine Hilfestellung.

Weisst Du wie man sowas nennt? Undankbar. Du versuchst hier eine - auf Dich zugeschnittene - Lösung "einzufordern" (weil Du es selbst nicht auf die Kette bekommst) und wenn man Dir ein paar allgemeingültige Tips dazu gibt, wie Du Deine eigene Sicherungsstrategie entwickeln kannst, kommst Du hier mit so einem Unsinn um die Ecke. Herzlichen Glückwunsch!

Bin mal raus hier... Trotzdem noch weiterhin noch viel Erfolg dabei.

P.S.: Sofern geschäftlich und null Ahnung, vielleicht doch besser an wen bezahlten wenden, die kennen sich dann damit auch aus und können im Fall der Fälle auch Probleme beheben, oder sind entsprechend haftbar.

@mods: Wenn stört, oder "zweifelhaft" sein sollte, kloppt weg dat Ding.

 

[Synchrotron]

Ransomware: Kommt immer darauf an, wo sie ins Netzwerk kommt, ob sie sich dort Rechte verschaffen kann, und wann die Infektion auffällt.

Typischer Weg: Ein Windows-PC dient als Einfallstor, der Trojaner juckelt sich zum Netzwerk-Admin-Status hoch, schaut sich um, entdeckt die Backups und verschlüsselt die zuerst. Danach klaut er noch ein paar Dateien, und verschlüsselt die aktiven Dateien. Und dann ist Zahltag.

Das setzt voraus, dass man als lohnendes Ziel mit Einzelbetreuung identifiziert wird. Ist für einen Privatanwender eher unwahrscheinlich. Automatische Infektionen versuchen auch Backups zu erwischen, decken aber natürlich nicht alles ab.

Es geht aber auch exotischer: Wir hatten hier im Forum schon den Fall, dass ein ungepatchter Hausautomatisierungsdocker mit einem offenen Port als Einstieg diente, und dann die Synology-eigene Verschlüsselung genutzt wurde, um den Ärger anzurichten. Sachen gibt es ...

Tatsächlich sicher ist wohl eine remote DS, die sich selbst einwählt, das Backup zieht, und sich dann selbst wieder abmeldet. Dann liegen auf dem exponierten System keinerlei Zugangsdaten. Will man es mit Synology Bordmitteln machen, heißt das Active Backup for Business, und setzt auf der remote-DS BTRFS als Dateisystem voraus. Das heißt praktisch zugleich einen x86-Prozessor. Ansonsten im Forum mal nach Universal Backup suchen, oder rsync nehmen. Das geht auch ohne BTRFS.

 

[callipo]

Vielen Dank für die vielen Tipps!

Mit der 3-2-1 Methode bin ich vertraut. Da ich mein Setup von 2 Redundanten lokalen Platten und ein Remote-Backup ändere zu einem Zielbild ohne lokalem Raid verändere, muss ich auch hier ggf. neue Tools einsetzen.
Da ich mangels eigener Hardware noch keine Erfahrung mit den Syno x86 Tools gesammelt habe suche ich noch nach einer Lösung, sie mich nicht allzuviel konfigurationsaufwand kostet. Ich tendiere zum Tool "Snapshot Replication" und sichere dann meine wichtigen Daten per Snapshot-Transfer von der SSD auf die HDD.

Nochmal zurück zu meiner Frage zum Hyper Backup:
Ich sichere aktuell Daten von meinem ext4 Laufwerk (verschlüsselt) in das rebomte HB Vault.
Die Daten möchte ich nun zum neuen NAS (wahrscheinlich) auf einem BTRF basierten Filesystem migrieren. Dadurch ändert sich an den Daten erstmal nichts, jedoch an der Art der physikalischen Repräsentation.. Ich habe mich noch nicht im Detail mit dem blockweisen Backup Verfahren von HB auseinandergesetzt, mir scheint es aber unrealistisch, dass ich die Daten sinnvoll nach der Migration in das vorhandene Backup Ziel bekommen kann und dabei das inkrementelle Backup einfach fortzusetzen ist. Hat jemand damit Erfahrung?

Tatsächlich sicher ist wohl eine remote DS, die sich selbst einwählt, das Backup zieht, und sich dann selbst wieder abmeldet. Dann liegen auf dem exponierten System keinerlei Zugangsdaten. Will man es mit Synology Bordmitteln machen, heißt das Active Backup for Business, und setzt auf der remote-DS BTRFS als Dateisystem voraus. Das heißt praktisch zugleich einen x86-Prozessor. Ansonsten im Forum mal nach Universal Backup suchen, oder rsync nehmen. Das geht auch ohne BTRFS.

Das mit der "Einwahl" von außen ist ein Interessanter Ansatz. Wie könnte ich das mit Boardmitteln (DS 215j-> Fritzbox -> Fritzbox -> DS720+) realisieren? Also ein zeitgesteuertes anmelden eines techinschen users von der DS215j auf die DS720+um dort HyperBackup zu starten ? Hört sich auch erstmal nach "skript"-gefrickel an, auf das ich gerne verzichten möchte.

Es geht aber auch exotischer: Wir hatten hier im Forum schon den Fall, dass ein ungepatchter Hausautomatisierungsdocker mit einem offenen Port als Einstieg diente, und dann die Synology-eigene Verschlüsselung genutzt wurde, um den Ärger anzurichten. Sachen gibt es ...

Kannst du mir den Link zu dem Thema senden? Mich würde interessieren, welcher Exploit hier genutzt wurde. Docker werde ich auch einsetzen, jedoch (erstmal) ohne Weg nach draußen.

Vielen Dank!

 

[Jagnix]

Hat jemand damit Erfahrung?

Du kannst ein vorhandenes Backup neu Verknüpfen.

 

[Synchrotron]

1) Einwahl und Backup durch die Backup-DS (pull) wird von Hyperbackup nicht unterstützt. HBU ist immer „Push“.
2) UniversalBU: Einfach mal im Forum suchen, wird hier unterstützt. Aus meiner Sicht kein „Gefrickel“, kann als Paket installiert werden.
3) Keine Ahnung ob ich den Thread noch finde. Etwa 1/2 Jahr her.

 

[callipo]

Du kannst ein vorhandenes Backup neu Verknüpfen.

Danke!
Ich habe gerade mal diese Seite überflogen: https://www.synology.com/de-de/know...link_to_existing_backup_tasks_of_Hyper_Backup

Ich sehe hier leider nicht, was nach Punkt 3 passiert. Kann ich dann lokal zu remote auf Datei-Ordner Basis verknüpfen? Gelten die kopierten Files als unverändert? Ich denke ich muss es einfach mal auf einer lokalen Kopie meines .hbk Files ausprobieren.

 

[synfor]

Kannst du mir den Link zu dem Thema senden? Mich würde interessieren, welcher Exploit hier genutzt wurde. Docker werde ich auch einsetzen, jedoch (erstmal) ohne Weg nach draußen.

https://www.synology-forum.de/threads/diskstation-gehackt.110286/https://www.synology-forum.de/threads/verschluesselungstrojaner.110018/

 

[synfor]

2) UniversalBU: Einfach mal im Forum suchen, wird hier unterstützt. Aus meiner Sicht kein „Gefrickel“, kann als Paket installiert werden.

https://www.synology-forum.de/threads/ultimate-backup.78115/

 

[gadabout]

Danke!
Ich habe gerade mal diese Seite überflogen: https://www.synology.com/de-de/know...link_to_existing_backup_tasks_of_Hyper_Backup

Ich sehe hier leider nicht, was nach Punkt 3 passiert. Kann ich dann lokal zu remote auf Datei-Ordner Basis verknüpfen? Gelten die kopierten Files als unverändert? Ich denke ich muss es einfach mal auf einer lokalen Kopie meines .hbk Files ausprobieren.

@callipo: Ich bin in einer ähnlichen Situation wie du und habe auch so meine Verständnisprobleme mit dem verlinkten Doku-Artikel. Hast du das schlussendlich geschafft?

Ich plane gerade eine Migration von einer DS213+ auf eine DS220+. Laut Migrationsdoku von Synology bleibt mir als einzige Möglichkeit Hyper Backup für die Migration. Eine der noch offenen Fragen betrifft das wieder verknüpfen von Backup Tasks auf der Destination NAS:
Ich habe zwei Backup-Tasks, einen täglichen auf eine externe USB-Platte und einen wöchentlichen, der verschlüsselt wird und Richtung Google Cloud geht.

Wie würde das jetzt funktionieren? Muss ich beim USB-Backup einfach den USB-Folder, der die Backup-Dateien enthält, angeben?
Falls ja, wie würde das dann bei der Cloud Backup-Location aussehen?

Vielen Dank für eure Inputs.

 

[Jagnix]

So sieht das aus:

Backupdisk 2 ist meine USB-Platte.

 

[gadabout]

Danke @Wadenbeißer! So habe ich mir das für die USB-Platte vorgestellt.

Wie würde das denn für die Cloud-Sicherung aussehen? Dort hat man ja keinen Fileshare mit Folder zum Angeben, sondern arbeitet mit den User Credentials/Key für den Cloud Storage Provider.

 

[Jagnix]

Das kann ich Dir leider nicht beantworten. Habe keine Cloud.

 

[blurrrr]

Dort hat man ja keinen Fileshare mit Folder zum Angeben, sondern arbeitet mit den User Credentials/Key für den Cloud Storage Provider.

Die einen sagen so, die anderen so... kommt wohl auf den Anbieter und die eingesetzten Protokolle an.

 

[gadabout]

Der zusätzlich angefragte Synology Support ging ebenfalls nur auf die USB-Disk-Frage ein, nicht aber auf die Cloud Provider-Frage.
Also habe ich es schlussendlich doch einfach ausprobiert

Für das lokale USB-Backup musste ich nur den entsprechenden File Share neu verknüpfen, wie von @Wadenbeißer beschrieben.

Für das Cloud-Backup musste ich gar nichts einstellen, sondern nur den entsprechenden Backup-Task aus dem Pause-Modus holen und wieder reaktivieren. Komfortabler geht es wirklich nicht! Für Nachahmer: Stellt einfach sicher, dass auf eurer "alten" NAS der entsprechende Backup-Task deaktiviert/pausiert wurde. Könnte mir vorstellen, dass es sonst zu Inkonsistenzen kommt.