Vlákno názorů k článku Šifrované inkrementální zálohy s Duplicity od Martin Hruška - Mě se líbí, jak se všichni zaklínají tím,...
-
Bohužel máš pravdu. Když jsem před časem hledal zálohovací řešení, narazil jsem i na projekty, kde bylo napsáno "recovery jsme neřešili". Ano, ono řešení generovalo poměrně standardní tary, se kterými šlo pracovat, ale takto si tedy zálohovací produkt nepředstavuji.
Nakonec jsem na to rezignoval, pomocí rsyncu tahám celý /, včetně všech lokálních systémů souborů (tedy ne speciální jako /dev/ a síťové) a na zálohovacím stroji používám btrfs snapshoty. Takže co záloha (brutálně rychlá, změn není tolik), to snapshot (úspora místa, ukládají se pouze změněné bloky).
Pokud si odpustíme nevýhodu spočívající v devel stavu btrfs, tak toto řešení má asi jen výhody.
Zálohovaná data jsou k disposici v otevřeném stavu, v mnoha (klidně až do maxima zálohovací kapacity) verzích zpět. A na rozdíl od rdiff-backup, duplicity apod, je možnost smazat libovolný snapshot (v podstatě libovolný soubor, ale myslím, že na zálohy by se tato nemělo sahat), de facto neexistuje žádný full a žádný increment.
Pokud k tomu časem bude i deduplikace bloků, tak je tímto způsobem možno zálohovat větší množství serverů bez nějakých přehnaných nákladů na místo.
Pro mě osobně je to asi nejlepší způsob zálohování a obnovy, co jsem kdy viděl.
Pokud potřebuju zálohy archivovat, tak to lze uložit do squashfs, který má detekci duplikátů, takže není problém tímto způsobem zaarchivovat mnoho snapshotů, výsledný squashfs je malý.
-
Petr Baláš (neregistrovaný)
Ještě doporučím jako možnou alternativu dirvish. Co záloha, to normálně přístupný adresář (klidně to lze zpřístupnit skrz sambu - pochopitelně readonly), pokud se soubor nezměnil tak je hardlinkován s předchozí verzí, zazálohuji cokoliv, co si zpřístupním přes rsync (hint: rsync server pro Win funguje docela pěkně :-) ). Dirvish elegantně řeší i plánované mazání starých záloh. Bohužel už se taky zrovna moc nevyvíjí :-(
-
Martin Třinec (neregistrovaný)
Ovšem z hlediska bezpečnosti je to dost nepraktické. Nechci mít na jednom zálohovacím stroji volně přístupné zálohy X důležitých serverů.
Chci mít "hloupý" zálohovací server, který sám nikam nemá přístup a kterému jednotlivé servery tlačí své zašifrované zálohy, od kterých zálohovací server nemá heslo. Chci aby jednotlivé servery nemohly mazat starší zálohy sama sebe (pro případ že jsou kompromitované a hacker chce mazat zálohy). Chci aby byl přenos dat efektivní a jednou přenesaná data se znovu nepřenášela.
Nic takového jsem zatím nenašel. Možná jsou ty požadavky hloupé a na bezpečnost už se nehraje?
-
Ondřej CaletkaZlatý podporovatelVšechny tři požadavky jsou splnitelné s Duplicity. Stačí nastavit write-only přístup na uložiště a nějakým způsobem zabránit přepisování existujících souborů a je to. Trochu problém je, jak ty staré zálohy jednou odmazat, ruční sahání do uložiště duplicity asi není úplně v pořádku.
