Eure Meinung zu meiner Backup Strategie

[GiggideGig]

Liebe Community,

derzeit bin ich dabei die Speicher Lösung zuhause zu modifizieren und möchte gerne eure Meinung / Ideen / Einschätzungen hören ob ich etwas vergessen habe...

Zentraler Speicher ist ein Nuc mit UnRaid (1x 2TB Cache Disk, 1x 4TB SSD im Array, 1x 4TB HDD parity Disc). Hier wird ein private Share im Netzwerk auf Smartphones geteilt und zum Smartphone \ Laptop \ Desktop Datengrab von hauptsächlich Bildern, Videos und Dokumenten.

Sprich alle Geräte schreiben wichtige Daten auf den Share. Der ist nun durch die Parity erstmal ein wenig gesichert aber die Backups fehlen.

Als Familien Vater möchte ich ungern meine Kinder Bilder in der Cloud "backupen". Bin selbst schon lange in der IT.

Folgende Überlegung:
Ein weiteres NAS das 24/7 läuft ist zu teuer und zu Stromintensiv. Eine USB Festplatte die ich alle paar Wochen manuell dran hänge und ein Backup erstelle ist auch unsicher... das vergesse ich eh!.. Also war die Überlegung 2-3 4TB Platten in mein Desktop PC im Raid 1 laufen zu lassen und automatische Backups des Nuc auf diese Platten zu machen wenn die Kiste mal alle 1-2 Wochen an ist. Ggf. Zusätzlich alle paar Monate eine Platte rausnehmen (in Keller oder wo auch immer) und durch zuwechseln. Somit sind 2 Platten ständig im Desktop, getrennt vom nuc und eine komplett physisch getrennt.

Dennoch ist es Teil-automatisiert und lokal.

Ist das nun Overkill oder hab ich was vergessen?

Danke für euren input.

Achja, im Moment schaue ich mir die Seagate Barracuda an. Vllt aber auch 2-3 unterschiedliche Platten?

 

[Christian1297]

Eines deiner Backups sollte an einem anderen Ort liegen. Ob als externe Festplatte oder als nur bei Bedarf gestartetes NAS bei einem Familienmitglied obliegt deiner Faulheit und dem Budget. Ich selber habe ein günstiges NAS an einem zweiten Standtort das nur gelegentlich per WOL gestartet wird und sich nach dem Backup automatisch wieder abschaltet.

 

[Dr. McCoy]

Also war die Überlegung 2-3 4TB Platten in mein Desktop PC im Raid 1 laufen zu lassen und automatische Backups des Nuc auf diese Platten zu machen wenn die Kiste mal alle 1-2 Wochen an ist.

Zusätzliche Datenträger in deinem Gerät (Desktop PC) stellen keine Backups dar! Da reicht als simples Beispiel bereits die Ransomware aus.

 

[GiggideGig]

Der Desktop macht ja das Backup für den Nuc. Also zwei physisch unabhängige Geräte Entsprechend ist es doch ein anderes Gerät, ähnlich zu einem sich ab und zu startenden NAS. Oder wo siehst du hier den Unterschied?

Hmm die weitere Platte für den Keller oder die Bank scheint Pflicht zu sein danke!

 

[Giggity]

Erstmal cooler Name @GiggideGig

Die 321 Backup Regel sagt:
3 Kopien
auf 2 verschieden Medien
1 Offside

Ich würde ein (synology) NAS / NUC nehmen und da drauf Backupen zb bei den Eltern

1x pro Woche kann das NAS dann hochfahren fürs Backup

Allerdings weiß ich grade nicht auswendig welche Software ein NUC NAS Backupen kann bei Synology.

Alternativ wäre ein verschlüsseltes Backup in die Cloud

 

[GiggideGig]

Danke, dein Name ist auch nicht von schlechten Eltern

3-2-1 kenne ich.
Drum
1: Nuc (NAS) original + parity
2.: Desktop Backup Storage (Raid 1)
3.: gespiegelte verschlüsselte Platte alle x Monate zu Bekannten / Eltern

Die NAS bei bekannten / Eltern.. dann müsste ich etwas über ein VPN bauen was am Ende im besten Fall recht fragil funktioniert. Cloud kommt für mich nicht in Frage.

Danke für eure Kommentare!
Ist der 2. Punkt nicht valide?
Wenn der Desktop futsch geht dann ist 1 und 3 noch da. Wenn 1 weg ist ist parity + 2 und 3 da.. der Desktop ist meist aus.

Wo stehe ich auf dem Schlauch? 🤔

Ergänzung (15. Juli 2023)

Eines deiner Backups sollte an einem anderen Ort liegen. Ob als externe Festplatte oder als nur bei Bedarf gestartetes NAS bei einem Familienmitglied obliegt deiner Faulheit und dem Budget. Ich selber habe ein günstiges NAS an einem zweiten Standtort das nur gelegentlich per WOL gestartet wird und sich nach dem Backup automatisch wieder abschaltet.

WOL an einem anderen Standort?

Wie verbindest du dich dort? Wie stellst du die Sicherheit her wenn du von extern drauf kommst?

 

[Dr. McCoy]

Der Desktop macht ja das Backup für den Nuc.

Dieser Desktop dient also nichts anderem als Backups, und wird sonst für gar nichts anderes genutzt, hängt auch nicht am Internet?

 

[GiggideGig]

Doch er hängt am Internet und im selben Netzwerk. Würde das ein NAS für Backups nicht auch?

 

[Giggity]

Sicherer wäre ein Offline Backup also externe Festplatte die nur fürs Backup angeschlossen wird am besten 2x und davon 1x bei den Eltern

 

[GiggideGig]

Wieviele Festplatten kaufst du? .... Ja!

Da wird sich mein elektro Shop des vertrauens freuen

Danke für euren input! Nun überlege ich ob ich nicht doch noch eine backup NAS einbaue welche nur ab und an hochfährt.

 

[Christian1297]

WOL an einem anderen Standort?

Wie verbindest du dich dort? Wie stellst du die Sicherheit her wenn du von extern drauf kommst?

Das NAS steht bei einem Familienmitglied an einem sicheren Ort. Der Zugriff erfolgt dann über den VPN Server der FRITZ!Box und den bei Bedarf aufgebauten Tunnel. Das Magic Packet für WOL kann vom Webinterface der FRITZ!Box initiiert werden.

Das ist aber natürlich nicht der einzige Weg wie kann sowas realisieren kann.

 

[greatdisaster]

Du könntest die Cloud nutzen wenn Du die Daten dort nur verschlüsselst ablegst.

 

[gymfan]

Der Desktop macht ja das Backup für den Nuc. Also zwei physisch unabhängige Geräte Entsprechend ist es doch ein anderes Gerät, ähnlich zu einem sich ab und zu startenden NAS. Oder wo siehst du hier den Unterschied?

Du nutzt vermutlich trotzdem nur einen User, der auf beiden Geräten schreibenden Zugriff hat? Das ab und zu startende NAS ist nur ab und zu erreichbar. Damit muss ein Verschlüsselungs-Trojaner genau darauf warten, dann das NAS verschlüsseln, ohne dass Du es merkst und erst später (bzw. max. gleichzeitig) Deinen PC.

Von daher wäre meine erste Lösung für faule (ich gehöre dazu). an das vorhandene NAS eine weitere HDD anzuschließen, welche aus den Netzwerk nicht erreichbar ist und auf welche NAS-Intern automatisiert ein Backup des NAS erstellt wird. Im Idealfall nur inkrementell, damit das einmal angelegte Vollbackup danach nicht wieder durch potentiell schon verschlüsselte, zerstörte oder unbeabsichtigt gelöschte Dateien überschrieben werden kann.

Das sichert dann natürlich nicht gegen Elemantrschäder (Überspannung, Wasser, Brand, amok laufende Familienmitglieder oder Haustiere, welche die HDD vom Tisch schmeißen). Ob Du sowas benötigst und was Dir das ganze dann wert ist (eigene Disziplin mit einem wiederkehrenden Termin oder gar automatisiert am anderen Standort), musst Du selber wissen.

Hmm die weitere Platte für den Keller oder die Bank scheint Pflicht zu sein danke!

Sie ist nur dann "Pflicht", wenn Du das für Deine Backup-Strategie als wichtig und durchführbar ansiehst. Nicht jeder muss alle denkbaren Schadensfälle absichern. Was nützt Dir die HDD im Schließfach, wenn Du deren Inhalte nur alle paar Monate aktualisierst, zwischendrin aber für Dich relevante Daten/Bilder erstellt werden?

Wieviele Festplatten kaufst du? .... Ja!

Da wird sich mein elektro Shop des vertrauens freuen

Meine ext. gelagerten (und damit extremst selten aktualiserten) Backups sind teils 10 Jahre und älter. Bei Dir geht es ja aktuell "nur" um 4 TB und nicht um >20TB. Dann wird es mit den HDDs irgendwann teuer.

Bei mir sind es 8+16 TB im NAS (kein 24/7 Betrieb), 8+8 TB im Backup-NAS (was nur läuft, wenn ich die Backups aktualisiere) und ein paar alte USB-HDDs für das Wichtigste bei meinen Eltern. Ich muss nicht alles, was auf dem NAS liegt, absichern, womit jede Sicherungsebene weniger Speicher benötigt.

Das, was täglich gesichter wird, läuft bei Windows automatisch beim Shutdown, landet dann auf dem DVB-C Receiver (Dreambox mit Linux und SSD) und ist dort nach ein paar Minuten ohne dessen Passwort nur noch lesend verfügbar. Das ist, neben dem Router, das einzige IT-Gerät, das 24/7 läuft.

Zusätzlich landen die wichtigsten Daten (zu denen bei mir nicht meine Fotos/Videos gehören, sondern eher Mails, Textdokumente und Scans von wichtigen Dokumenten) einmal im Monat verschlüsselt auf meinem Webspace. Die würde ich, da verschlüsselt, aber auch einer beliebigen Cloud anvertrauen. Vergesse ich bei einem Hausbrand nicht mein Smartphone mitzunehmen, dann habe ich darüber Zugriff auf meine Keypass-Datei und damit Zugriff auf meinen Webspace und alle relevanten, gescannten Dokumente (Versicheungen, Geburtsurkunde, Vollmachten).

Die Keypass-Datei könnte ich auch bei meinem Arbeitgeber in die Cloud legen, die 50 KB private Daten wären dort kein Problem.

 

[GiggideGig]

Vielen Dank @gymfan für die ausführliche Antwort.

Interessent, das eine zusätzliche hdd am nas im Grunde sicherer ist als eine hdd am Desktop.

Ich denke die hdd im Schrank/Keller etc ist für die Elementarsten Daten wie gescannte Dokumente, Keepass Files und Bilder bis dato Pflicht auch wenn die Backups nur alle paar Monate passieren, denn diese Grunde Daten ändern sich nicht häufig.

Bilder sind wichtig aber wenn 2 Monate fehlen ist das "auszuhalten".

Da werde ich mich mal dennoch im NAS Markt umsehen für eine kleine backup nas.

 

[Bohnenhans]

Nun ideal ist hier meiner Meinung nach ein Selbstbau mit z.B. Linux oder FreeBSD und z.B. OpenZFS.

Mit z.B. automatisierten Snapshots z.B. bei Systemstart ist man dann zusätzlich relativ sicher vor Ransomware - denn Snapshots sind per Implementation auch für root und das System immer nur read-only.

Und wenn 1 Snapshots plötztlich riesig wäre wuesste man ja uh da hat sich was an vielen Daten geändert

Wir nutzen zusätzlich SyncThing so dass wichtige Kerndaten von allen Rechnern zentral gesammelt werden - und dann 1x die Woche auf M-Disc landen.

 

[GiggideGig]

Aktuell nutze ich eine Art Selbstbau NAS via Intel Nuc mit UnRaid hyper visor und unterschiedlichen smb shares. Auf den Shares landen alle Daten (Smartphones + Laptops + Desktops)

Neu kommt nun ein Script hinzu, welches automatisiert ein Backup erstellt sobald ich meine USB HDD einstecke. Zusätzlich kommt dann noch ein "work in progress" automatisiertere Backup routine welche täglich Backups auf ein weiteres Gerät dynamisch durchführt.

Was nutzt du denn zum Snapshots erstellen? @Bohnenhans

 

[Bohnenhans]

Naja einfach die Snapshot Funktion von ZFS xD die ist dann auch per Iplementierung read only.

Das Snapshot erstellen dauert da 1 Sekunde die verbrauchen erst dann tatsächlich Platz wenn Daten gelöscht werden oder der Inhalt sich ändert - sonst nicht.

 

[GiggideGig]

Hmm es wird wohl Zeit sich mehr mit zfs zu beschäftigen ist noch Neuland für mich.

Allmählich verstehe ich den "hype" dahinter...

 

[gymfan]

denn Snapshots sind per Implementation auch für root und das System immer nur read-only.

Ist Linux mittlerwiele so zugeknöpft., dass man als root auch nicht mehr an die Partition kommt? Ein "rm -rf /" soll zwar mittlerweile nicht mehr möglich sein, aber gilt das auch für ein einfaches dd auf eine Nicht-Systempartition? Sonst verschlüsselt/löscht der Trojaner einfach die komplette Partition anstatt nur das Dateisystem.

Das einzig wirklich sichere ist m.M.n. ein offline-Backup mit mind. zwei wechselnden Medien. Ohne viel HW-Bastelei artet das aber leider in dauerhafte manuelle Arbeit aus. Oder man hat ein zweites NAS, welches nur lesend auf das erste NAS zugreifen kann und für welches man auch noch den Zugirff aus dem normalen Heimnetz komplett blockiert. Dann muss man "nur" noch seiner Firewall vertrauen.

 

[Bohnenhans]

Nun den snapshot löschen das kann ein Trojaner natürlich prinzipiell. Aber dann weiss man ja das was nicht stimmt und trifft am Backupsyste entsprechende Massnahmen bevor man das startet.

Er müsste aber dann halt einen remote Zugang auf den Server auch noch hacken - vom "Desktop" hat man ja meist nur SAMBA Zugang oder ähnliches.

Ergänzung (16. Juli 2023)

Hmm es wird wohl Zeit sich mehr mit zfs zu beschäftigen ist noch Neuland für mich.

Allmählich verstehe ich den "hype" dahinter...

Es gibt sicher auch viele gute andere Filesysteme aber ZFS ist halt denke ich ein guter Allrounder - und tatsächlich recht einfach. Erstaunlich einfach.

Genauso wichtig wie die Daten zu haben ist natürlich dass die Daten korrekt sind. Ich will wissen wann ich eine Datei aus dem Backup holen muss, weil sie aus irgendeinem Grund defekt ist.

Was bringt es die Datei xy zu haben, wenn der Inhalt korrupt gegangen ist? Das ist doch eine sehr gefährliche Sache man backuppt dann vielleicht seit Wochen Monaten Jahren eine defekte Datei ohne es zu merken.....

ZFS würde spätestens wenn man die Datei egal wie backuppt das automatisch merken, dass die Datei nicht mehr zur Prüfsumme passt weil es das bei JEDEM Lese und Schreibzugriff überprüft.

Und das ist für mich sehr viel wert.