Überarbeitung Backupstrategie wegen alter Festplatten

[geheim5000]

Ich überdenke gerade meine Backupstrategie und auch Erneuerung vorhandener Hardware.

Aktuell läuft es so das von meiner HauptDS (DS918+ (3*10TB und 1*5TB für unwichtige Dateien, die aktuell nicht gebackuped werden) per Hyperbackup ein Backup auf meine DS410 (aufgebohrt auf 411) mache. Ziel Festplatten sind 2* Seagate Archiv 8TB (von 2015/2016) die so langsam ihr alter haben. Desweiteren steckt dort noch eine 8TB (3 Jahre alt) und eine 4TB die nicht benutzt wird drin.

Desweiteren habe ich noch eine DS220j an einem anderen Standort stehen wo die wichtigsten Daten auf 1*8TB gesichert werden. Wobei ich hier nach einer besseren Anbindung suche. (von der DS220j werden auch Daten auf die DS410 gesichert von 1*3TB)

Vorhanden ist noch eine DS115j die aktuell nur für testzwecke genutzt wird.

Jetzt die Frage ob ich mein Backupkonzept verbessern kann? Wenn ja wie? und wie ich es nun modernisiere.

Idee war eine 14-16TB Platte kaufen und die DS 115j als neuen Backupserver zu nutzen, da die DS410 quasi immer vollausgelastet läuft.

Achso Backups laufen täglich mit rotierender Aufbewahrung.

Interessant ist vill. noch zu wissen das auf der DS410 kein Synology Account funktioniert.

Danke im Vorraus

gruß

 

[SouzA]

Moin,
und was ist jetzt deine Frage?
Bis denn
SouzA

 

[geheim5000]

Ich zitiere mich mal


Jetzt die Frage ob ich mein Backupkonzept verbessern kann? Wenn ja wie? und wie ich es nun modernisiere.

oder ob ich irgendwo nen Fehler drinne habe. was mich meine Daten kosten kann

 

[Heidi]

uiuiui du scheinst synos zu sammeln.

Haupt-NAS sollte schonmal ein Raid 1 sein. Die backup-NAS spart dir auch nerven und ärger, wenn dort auch ein Raid 1 läuft. also beidesmal min. 2bay. Die ordner deiner hauptNAS sollten verschlüsselt sein zwecks einbruchdiebstahl. Das backup sollte inkrementell und verschlüsselt sein (=Hyperbackup). Wenn das örtlich woanders steht (per dynDNS) ist das fein. Die backupverschlüsselung macht den transport sicher und am Zielort dann ein NAS-Diebstahl "nur" ärgerlich.
Durch die örtliche trennung sind schon mal sämtlich szenarien (feuer, diebstahl, blitz,..) abgedeckt. Durch das inklrement ist der größte Feind der daten (nämlich du selbst) abgesichert.

Bleibt nur noch ein 2. Backup, das ggf. nativ in einer externene Platte verschlüssel (Veracrypt) per win-PC freefilesync liegt. Das dann in der schublade, im Bankschließfach oder unterm Kopfkissen.

Wegen der vielen Verschlüsselung ist besonderes Augenmerk auf den Schlüssel zu legen. Bitte bitte nicht den keepass-Ordner auch verschlüsseln.....

Dann noch das unliebsame Thema des eigenen Ablebens berücksichtigen. "Kann meine Frau an die unterlagen rankommen, wenn ich tot bin, sprich: kennt die das passwort und kapiert die überhaupt wo was liegt".

Zum Thema raid: aufgrund der diversen backups muss das nicht zwingend ein raid sein, aber da eine Festplatte ein Verschleißartikel ist ist es doch deutlich (!) komfortabler, im Falle eines Falles einfach den faulen zahn rauszuziehen und zu ersetzen, bevor man sich mit Rückspielen rumärgern muss.


Prinzipiell ist deine backupstrategie gut, ich finde schon too-much. 2 NAS vor Ort und eine extern... Aber kann man lassen. Ich würde die alte hardware rausschmeissen, also dei 410er weg. Die 1bay-NAS hat lediglich als not-datengrab herzuhalten. die würde ich dann ggf. vor ort lassen. also die 918+ und die 1er vor Ort, die 220j dann remote (mir raid1).

ach ja: wenn schon raid, dann auch btrfs. Dann ist auch bitflip abgesichert.

 

[geheim5000]

Danke für die Antwort.

Die Synos haben sich so angesammelt

Hab Aktuell tatsächlich den Disaster Fall.

Haupnas (DS918+) ist abgeschmiert Raid 5 BTRFS defekt (nur Filesystem) nicht rettbar. Schuld war eine defekte Cache SSD.

Backups sind am zurückspielen dauert aber ewig mit ca 10Mb/s. Da merkt man das alter der DS410j. (über Verschlüsselung muss ich mir dann mal gedanken machen.)

Ich hab die DS918+ jetzt auf 4*10TB Raid5 aufgestockt.

2bay Raid1 ist bei meinem Datenbestand inkl Versionierung aktuell Knapp und teuer (20TB sind ja noch sehr kostenintensiv)

Aktuell hatte ich da auch an ein Raid 5 gedacht. Nur glaub ich das die 410j dann noch langsamer wird.

Externe Platte steht aber auf dem Plan.

Ich leg tatsächlich nur noch wenieg Daten auf meinem Laptop an sich ab. Und wenn ich die Daten der DS dadrüber sicher dauert das ja ewig. Nutze auf den Hauptgeräten Linux muss ich mir Verschlüsselung mal angucken. Das Hyperbackup ist aber verschlüsselt.

Keepass? Ist so eine Software zum PW Speichern oder? Ok fällt bei mir weg, bisher hab ich noch alle im Kopf. Und nein nicht überall das selbe

 

[Heidi]

über Verschlüsselung muss ich mir dann mal gedanken machen.)

ja sollte man. immer. die neueren synos haben auch ein aes-ni modul, sodass du im alltag nichts von performance verlust merkst wenn du mit verschl. ordnern arbeitest. die verschl. ordner verhindern leider einige btrfs gimmicks.... aber datenschutz ist halt top.

20TB sind ja noch sehr kostenintensiv

falsch. aktuell sind die 16tb platten die billigsten per tb. aber klar, bei 30tb nutzdaten wäre ekn raid 1 in ner 2 bay nas nix... für den anfanf raid5 mit 3x16tb z.b. in einer neueren 4bay. die 410ee unterstützt keine 16tb platte. unsere als 3015xs schluckt auch mur noch max. 8tb platten.

Nutze auf den Hauptgeräten Linux muss ich mir Verschlüsselung mal angucken

na Linux hat ja auch viele verschlüsselungsmöglichkeiten. Gibts da nicht auch veracrypt für ? KeepassX gibts. aber auch tonnen anderer Opensource.

Ok fällt bei mir weg, bisher hab ich noch alle im Kopf

das kann ich nur sdchwer glauben. Aktuelle empfehlung ist min. 12 Zeichen mit Sonderzeichen, keine Wortbucheinträge. Außer du nutzt phonetische Passphrasen, das geht. Ist aber im eingeben sehr langwierig...

 

[synfor]

die 410ee unterstützt keine 16tb platte. unsere als 3015xs schluckt auch mur noch max. 8tb platten.

Bitte etwas mehr Sorgfalt bei den Produktbezeichnungen. Es gibt weder eine 410ee, noch eine 3015xs. Außerdem werden Platten bei SATA von Anfang an per LBA48 adressiert, so dass es eigentlich keinen Grund gibt, warum 16 TB-Platten dort nicht funktionieren sollten.

 

[Heidi]

Es gibt weder eine 410ee, noch eine 3015xs.

410j und 2015xs ......smartphonetastatur. die 2015xs unterstützt nach dem synodatenblatt nur max 6tb platten.....

 

[geheim5000]

ja sollte man. immer. die neueren synos haben auch ein aes-ni modul, sodass du im alltag nichts von performance verlust merkst wenn du mit verschl. ordnern arbeitest. die verschl. ordner verhindern leider einige btrfs gimmicks.... aber datenschutz ist halt top.

Welche BTRFS Gimmicks werden denn verhindert?

falsch. aktuell sind die 16tb platten die billigsten per tb. aber klar, bei 30tb nutzdaten wäre ekn raid 1 in ner 2 bay nas nix... für den anfanf raid5 mit 3x16tb z.b. in einer neueren 4bay. die 410ee unterstützt keine 16tb platte. unsere als 3015xs schluckt auch mur noch max. 8tb platten.

ja die billigsten per TB, aber immer die Frage was der eigene Geldbeutel sagt

die 410 läuft bei mir btw mit DSM 6 was sie offiziel nicht kann, und auch die 3x8TB kann sie offiziel nicht.

Meine Erfahrung sagt das die Kompatibilitätslisten meistens eher schlecht gepflegt sind. Ich betreibe auch Seagate 8TB Archive mit SMR was ja offizie auch nicht geht.

na Linux hat ja auch viele verschlüsselungsmöglichkeiten. Gibts da nicht auch veracrypt für ? KeepassX gibts. aber auch tonnen anderer Opensource.

Ob es dafür veracrypt gibt weiß ich nicht, gibt bei meinem (Linux Mint Cinnamon) was integriertes, womit ich aber am Anfang schwierigkeiten hatte weswegen ich es nicht genutzt hatte bzw. nicht nutze.

das kann ich nur sdchwer glauben. Aktuelle empfehlung ist min. 12 Zeichen mit Sonderzeichen, keine Wortbucheinträge. Außer du nutzt phonetische Passphrasen, das geht. Ist aber im eingeben sehr langwierig...

Bin Aktuell bei 8 bis 10 Zeichen, Sonderzeichen, Buchstaben, Zahlen, nichts aus dem Wörterbuch. Nutze derzeit 6 verschiedene + Variationen. Und dann noch für unwichtige sachen welche wo es mir egal ist wenn die mal geknackt werden.

Bei mir ist aber auch der Hintergrund das ich keine Datei haben will wo meine PW alle drinne abgelegt sind. Denn brauch man ja nur noch 1 PW "erraten" und hat auf alles Zugriff.

Und aus persönlicher Erfahrung, es gibt Banken die sagen 5 Zeichen PW reichen fürs online banking (Sonderzeichen gehen nicht). Kann man sich dann seinen Teil zu denken.

 

[Heidi]

Welche BTRFS Gimmicks werden denn verhindert?

Wenn man in der DSM einen freigegebenen Ordner verschlüsselt, dann wird da im Hintergrund ein Bereich des BTRFS Filesystems mit einem untergeordneten Filesystem versehen. Es wird das Linux-bekannte eCryptFS verwendet. Das übernimmt dann die Indizierung des "Ordners" verschlüsselt. Die folgenden BTRFS Funktionen funktionieren in einem verschlüsselten Ordner nicht:

• inkrementelle Versionierung (wie man das über das Drive-Paket machen kann)
• Copy-on-write (das copy-paste stößt also sofort einen Kopiervorgang der Datei an, wie es das ext4 und andere machen. Anders als das BTRFS, was vorerst nur den Indexeintrag anlegt.
• Komprimierung (beim Erstellen von Freigegebenen Ordnern kann man da ja immer sonst dieses Häkchen setzen)

Was weiterhin geht ist die Selbstheilungsfunktion (im Index und bei einem Raidverbund auch im Datenbereich. Also Fehlererkennung und Fehlerbehebung (Stichwort: Bitflip). Auch die Snapshot Funktion kann weiterhin verwendet werden, was quasi eine manuelle (oder terminierte) Versionierung darstellt.

Meine Erfahrung sagt das die Kompatibilitätslisten meistens eher schlecht gepflegt sind. Ich betreibe auch Seagate 8TB Archive mit SMR was ja offizie auch nicht geht.

Ja, auch meine Erfahrung zeigt, dass man HDDs oder RAM ausserhalb der Kompatiblitätsliste betreiben kann. Die Liste sagt ja nur aus, dass Synology mit exakt dieer und jener Komponente getestet und für gut befunden hat. Ein Fehlender Artikel in der Liste heißt entweder, es geht nicht, oder es ist nicht getestet. Nachdem sich damals die SMR-Klagen gehäuft hatten, haben sie die entsprechenden HDDs einfach aus der Liste entfernt. Die machen es sich damit eben sehr leicht

Ob es dafür veracrypt gibt weiß ich nicht

ich habe grade im netz gesehen, dass es veraCrypt für Linux gibt. Aber wie gesagt, es gibt sicher auch andere HDD-Verschlüsselungstools, in die du deine Daten dann Nativ einspeichern kannst.

Nutze derzeit 6 verschiedene + Variationen

Variationen sind i.d.R. Schwachstellen. Man kann mit dem ersten erratenen/abgegriffenen Passwort als Seed dann schnell weitermachen. 6 ist zu wenig, 10 ist schon i.O. Lass dir mal von Passwort-Checkern im Netz prüfen, was die davon halten.

Denn brauch man ja nur noch 1 PW "erraten" und hat auf alles Zugriff.

Völlig korrekt! Das Masterpasswort muss dann bombig sein ! Meins ist 17 Zeichen lang mit allem Shit drin. Und mehr verrate ich nicht, denn wenn sogar das Pattern bekannt ist, dann ist das schon wieder eine Schwachstelle . Achte darauf, dass du es schnell und geschmeidig eintippen kannst, dann geht das auch bei langen Passwörtern gut von der Hand. Wenn man es oft nutz (ich nutze es mehrfach täglich) dann brennt sich das auch ins Hirn leicht ein. Ich habe grade mal nachgeschaut, wieviele Passwörter mein Tresor beherbergt.....450 Stk !!. Allein 180 Online-Shop-Zugänge, 50 syno User, ein Dutzend email Zugänge. WOW. Da käme ich mit Merken nicht weit.

Und aus persönlicher Erfahrung, es gibt Banken die sagen 5 Zeichen PW reichen fürs online banking

Dort sorgt ein anderer Mechanismus für die Sicherheit. Es ist nicht eine Datei, die man in die Finger kriegen kann und dann per brute-force daheim lösen kann. Dort geht es um einen Zugang, bei dem eine Datenbankanfrage gestartet werden muss. Der Server antwortet dann mit korrekt oder inkorrekt. Die Datenbank kann dann diverse Sicherheitssperren bereitstellen. Begrenze Abfrage pro Minute etc.. Aber klar: Die Datenbank kann auch gehackt und entführt werden. k.a.

 

[Heidi]

@geheim5000 , Ich würde bei dir als ersten Passwort Hack mal "geheim5000" versuchen. Sind 10 Zeichen. Dann würde ich mit 6000, 7000,. fortfahren HAHA

 

[geheim5000]

Denn hab ich ja viel Zeit bis du auf mein PW kommst

ich hab irgendwas zwischen 10 und 20 Services die ich nutze. Daher auch bei weitem nicht soviele Passwörter wie du

Bei 500 würde mein Hirn auch nicht mehr mitkommen das ist sicher. Wie machst du das bei verschiedenen Geräten?

Meine Passwörter gebe ich bei keinem Onlinechecker ein da bin ich eigen. Passwörter gebe ich nur dort ein wo ich sie eingeben muss.

Variationen hab ich z.B. in verschiedenen Foren, wenn da der Account geknackt wird egal. Und lässt mir noch ein bisschen Zeit zu reagieren.

Ich hatte so einen Angriff auf mich btw. schon. 3 Accounts hatte es erwischt, leider eine meiner Email Adressen wo sie dann an Steam dran kamen. Konnte aber alles retten und ändere seitdem die wichtigsten PW sowieso regelmäßig unregelmäßig.
Die Mail Addresse ist jeztzt auch nur noch eine Spam Mail Adresse.
Also nicht zu lange brauchen zum PW erraten


Die Bank von der ich spreche hat in dem Fall keine weiteren Fallstricke, wer das PW + Login weiß kommt ohne weitere Abfrage rein. Klar Überweisungen usw. gehen nicht. Aber ich möchte auch nicht das einer auf mein Kontostand zugreifen kann.

Achso Aussage der Bank: Wieso 5 Zeichen sind doch mehr als sicher? Mich nervt das wenn ich noch Zahlen anhängen muss.
Kann man sich nicht ausdenken so einen Mist.

Den rest muss ich mir nach dem restore mal in ruhe angucken

 

[Heidi]

Bei 500 würde mein Hirn auch nicht mehr mitkommen das ist sicher. Wie machst du das bei verschiedenen Geräten?

Alleine schon online shops habe ich 174 Einträge. wuff.

Mehrere Geräte: Die Syno hostet per webdav den Tresor, so kann ich den per smartphone und laptop aus der ferne abfragen. Andere die ich kenne machen das mit der Sync-Funktion der Passworttresore. Geht auch.