Salve a tutti, da qualche giorno ho un dubbio su come eseguire i backup nel modo migliore possibile.
Mettiamo caso che io abbia dei server che eseguono dei backup dell'intero sistema con il servizio di backup di windows server su un'unità di rete. Se dovesse succedere qualcosa al server lo piallo e gli ripristino il backup dall'unità di rete, fin qui tutto ok.

Se però arrivasse un cryptolocker che mi spazzola via tutto il disco, questo vedrebbe l'unità di rete dei backup e spazzerebbe via tutto anche la sorpa rendendo di fatto inutile avere un'unita di rete per fare i backup.

Una possibile soluzione a questo ulteriore problema potrebbe essere eseguire di tanto in tanto il backup dell'unità di rete su un supporto completamente esterno come un disco o un portatile che di volta in volta viene connesso, clona l'unità di rete, poi disconnesso e portato via.

La domanda finale è, esistono delle tecniche più sofisticate ed efficienti per fare tutto ciò?

    Premetto che non uso Windows, quindi la mia soluzione non ti serve.

    Però io uso un hypervisor che non fa nient'altro (Proxmox) e tengo lo storage su ZFS con snapshot ogni settimana o mese dipendentemente dalla frequenza con cui un set di dati cambia.

    Soltanto le VM sono esposte su internet, e ogni VM vede solo la porzione di spazio che gli interessa (per esempio la VM del server di minecraft non vede lo storage dove ci sono le foto di famiglia, che è su un dataset ZFS differente)

    Un cryptolocker mi ucciderebbe una singola VM e al massimo i dati correlati ad essa.
    Del sistema operativo della VM faccio manualmente backup (completo) ogni tanto visto che pesa poco mentre i dati come ho già detto sono coperti dallo snapshot di ZFS che posso ripristinare molto velocemente.

    Ovviamente da dentro la VM non c'è la possibilità di eliminare o toccare gli snapshot*

    Dei dati più importanti (ma sono poche centinaia di gigabyte) ho anche backup su HDD esterno che faccio una volta l'anno e tengo in un posto diverso.

    Poi se qualcuno mi vuol davvero male il modo sicuro lo trova, non sono esperto di sicurezza. Però penso sia un buon compromesso

    *o meglio, gli snapshot li puoi vedere perchè uso la funzione di samba/windows che permette di andar dietro nel tempo ma sono readonly

      Vorpal97 se la destinazione del backup è un disco di rete (nas ad esempio) puoi usare software che si collegano alla condivisione solo quando serve e in modo che il s.o. non la renda disponibile per altro, cioè senza che la condivisione sia mappata in qualche modo (punta alla \nas\condivisione, con login e psw assegnati).
      puoi usare veeam endpoint backup (ma ce ne sono altri) che salva il singolo file oppure tutti i dischi derver server, con backup interi o incrementali e ti permette di ricostruire il server a partire "dal metallo" (bare metal) creando una chiavetta di boot direttamente dal programma.
      è gratuito se ti basta un solo job.
      lo uso da parecchio per le mie vm e per ora non mi ha dato problemi.

          Visto che si parla di server presuppongo ce si parli di realtà aziendali dove dove siano correttamente configurati utenti, gruppi di utenti ed ACL, quindi anzitutto bisogna che sull'unità che ospiterà i backup siano impostati i permessi più restrittivi possibili, in modo che solo gli addetti al backup possano accedervi.
          In questo modo se un user generico si becca un cryptolocker non dovrebbe combinare guai sui backup (presupponendo che gli addetti al backup siano persone abbastanza esperte da non aprire ogni file allegato ad ogni mail anche se di dubbia provenienza).
          Pii basta rispettare la regola aurea dei backup: avere sempre copie locali e copie replicare in luoghi geograficamente distinti

            • [cancellato]

            • Messaggio #5

            Negli ultimi tempi usavo qualcosa a metà strada tra il sistema di @edofullo e quello di @MircoT, con tutti gli sbattimenti del caso.

            Poi un giorno mi sono reso conto che gli unici miei dati davvero importanti sono le password di online banking e posta, da allora me ne son completamente battuto il creamondo di ogni backup e vivo molto più sereno 🤓

            Ma qualcuno di voi fa di tanto in tanto prove di restore? Vuoi mai che la volta che ti serve il bck non vada una mazza....
            Leggevo qua e là di qualcuno che, in raid, la volta che gli è morto un hdd, gli si è schiantato anche l'array...

            EDIT Una domanda, premesso che non sono interessato ad un NAS, a parte il tr-004u/tr-004 di qnap, che voi sappiate esiste qualche alternativa analoga che io non sto trovando?

            • matteog ha risposto a questo messaggio
            • sfalz ha messo mi piace.

              juststupid Da com'era stata posta personalmente avevo inteso di sì, ma bisogna che risponda lui....

                Beh visto che parla di "servizio di backup di windows server" non sembrerebbe si tratti di soluzioni per la casa...

                Visto l'andazzo del forum potrebbe anche essere in realtà

                edofullo Però io uso un hypervisor che non fa nient'altro (Proxmox) e tengo lo storage su ZFS con snapshot ogni settimana o mese dipendentemente dalla frequenza con cui un set di dati cambia.

                Ho anche io un hypervisor proxmox con sopra una VM Windows Server 2016 della quale faccio snapshot su ZFS ogni giorno, è la soluzione migliore ma gli altri due server purtroppo non sono virtualizzati. Vorrei però anche trovare il modo di copiare gli snapshot da qualche altra parte in maniera automatica senza ogni volta copiarli a mano sul portatile.

                MircoT Veem su un server lo usavo, non sapevo però di questa funzione di "accesso occasionale" all'unità di rete condivisa, è un'opzione di veem?

                leoniDAM In questo modo se un user generico si becca un cryptolocker non dovrebbe combinare guai sui backup

                Però se a beccare il cryptolocker è proprio il server i backup vanno comunque alle ortiche..

                juststupid Stiamo parlando di una soluzione per casa ?

                No, è una soluzione per l'azienda di famiglia. Per quello che posso cerco di dare una mano con le mie competenze ma tra studio e lezioni all'università non ho il tempo per apprendere e capire come vadano fatte le cose nel modo corretto.

                Poi c'è da dire anche che l'università non forma assolutamente dal punto di vista pratico quindi devo arrangiarmi..

                          edofullo interessante, anche se il login dell'utente sudoers senza password nella macchina remota dove copiare lo snapshot non tanto che mi aggrada, forse sarebbe meglio settare il login ssh di quest'ultimo con chiave RSA da mettere nell'hypervisor.

                          A sto punto sto pensando seriamente di creare una VM Centos su proxmox su cui far fare i backup ai server windows fisici e trasferire gli snapshot di questa macchina su una destinazione remota..

                            Vorpal97 Veem su un server lo usavo, non sapevo però di questa funzione di "accesso occasionale" all'unità di rete condivisa, è un'opzione di veem?

                            no, è il modo nativo quando gli dici di salvare i backup in una condivisione di rete: non serve che sia una mappatura (anzi, proprio per sicurezza è meglio che non lo sia), basta specificare la destinazione in formato unc (\nas.miodominio.local\condivisione) con i relativi login e psw. veeam si connetterà solo al momento del backup e non lascerà la connessione attiva dopo il backup.

                            Vorpal97 Però se a beccare il cryptolocker è proprio il server i backup vanno comunque alle ortiche.

                            non succede se i file del backup sono su una unità di rete a cui il server non hanno accesso continuo: l'accesso alla condivisione avviene solo dal programma di backup (non dall'intero s.o. del server) per il tempo che serve.
                            chiaro che devi tenere backup per più giorni: se ti accorgi del crypto dopo un giorno, dovrai usare il backup di almeno 2 gg prima.

                                  MircoT interessante anche questa, solo che veem a volte fa i capricci col nas, non so per quale motivo..

                                  • MircoT ha risposto a questo messaggio

                                      Vorpal97 che problemi ti da?
                                      lo uso da parecchio sulle vm e fino ad ora non ho avuto problemi.
                                      quale veeam usi?

                                          MircoT adesso non posso farti lo screebshot ma mi dava qualcosa del tipo che non riusciva a terminare il backup perché l'unità remota non era più disponibile o qualcosa simile, comunque ho la versione 3.0.2.1170

                                          edit: un'altra cosa, l'ho reinstallato da zero e all'inizio mi chiede di creare un file iso

                                          bare metal sarebbe "l'ossatura" del backup? cioè il punto di partenza per ripristinare la macchina fisica sulla quale poi andare ad aggiungere i vari file che consentono di ricostruire tutto il resto?

                                          • MircoT e H2o hanno risposto a questo messaggio

                                              Vorpal97 mi sa che stai usando una versione vecchiotta: ora c'è questa:

                                              il recovery media è la chiavetta che serve a boostrappare il server per ripristinarlo del tutto, ad esempio se ti si sfascia del tutto il volume raid e perdi l'intero server.
                                              va fatto ogni volta che cambi versione di veeam.

                                              bare metal: ripristinare il server a partire dalla ferraglia nuda e cruda.

                                                  Come ti hanno già consigliato puoi usare il Veeam Agent.
                                                  Ancora meglio sarebbe usare nfs come protocollo di connessione, di modo che nessuno a parte gli IP elencati abbiano accesso al repository.

                                                  Vorpal97 bare metal sarebbe "l'ossatura" del backup? cioè il punto di partenza per ripristinare la macchina fisica sulla quale poi andare ad aggiungere i vari file che consentono di ricostruire tutto il resto?

                                                  La comodità di questo passaggio è che puoi inserire direttamente in automatico tutti i driver necessari al funzionamento ed eventualmente puoi usare la funzione per ripristinare su VM una macchina fisica che si è sfaciata.

                                                  Ovviamente il Veeam agent è solo un pezzo di quello che offre Veeam e andrebbe per lo più usato e gestito tramite Backup & Replication, ma può esistere anche come elemento singolo.

                                                  PS: non usare il backup integrato di Windows Server, per carità

                                                      MircoT ora c'è questa:

                                                      ah okay, lo aggiorno e riprovo allora

                                                      MircoT il recovery media è la chiavetta che serve a boostrappare il server per ripristinarlo del tutto, ad esempio se ti si sfascia del tutto il volume raid e perdi l'intero server.
                                                      va fatto ogni volta che cambi versione di veeam.

                                                      ok, quindi deve essere un supporto fisico esterno.

                                                      H2o usare la funzione per ripristinare su VM una macchina fisica che si è sfaciata.

                                                      questo lo chiede all'atto del ripristino oppure devo prevederlo quando setto il job?

                                                      H2o PS: non usare il backup integrato di Windows Server, per carità

                                                      ricevuto!
                                                      Per quanto riguarda invece la macchina su Proxmox a sto punto non configuro nessun job giusto? Tanto ho gli snapshot zfs fatti dall'hypervisor che sono anche più comodi all'atto del ripristino, li selezioni e con un click ricostruisci la macchina in un lampo.

                                                      • H2o e MircoT hanno risposto a questo messaggio

                                                                Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈
                                                                P.I. IT16712091004 - info@fibraclick.it

                                                                ♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile