Sicheres Backup eines vServers auch ohne SFTP

[derdomi]

Guten Tag zusammen,

mein vServer-Provider bietet den FTP-Backup-Server leider ohne Verschlüsselung an. Um aber nicht all meine Daten auf dem lokalen Netzwerk zu präsentieren, suche ich nach einer sicheren Lösung.

Was haltet ihr davon die FTP-Freigabe per curlftpfs zu mounten und darin einen TrueCrypt-Container zu erstellen, welcher dann ebenfalls gemountet wird. Dann kann ich wie gewünscht per rsync Daten sichern.
Meine Frage ist nun, ob die Daten dann auch wirklich verschlüsselt per FTP übertragen werden. Nach meinem Verständnis sollte das schon so passieren. Das Worst-Case-Szenario wäre, dass jemand das FTP-Passwort abgreift und den Container löscht.

Gibt es evtl. andere Möglichkeiten?


Vielen Dank für eure Hilfe!
Dominik

[syssi]

Es gibt Backup-Loesungen, welche noch auf der Maschine verschluesseln und die verschluesselten Dateien, dann auf einen unsicheren entfernten Server schieben. Deine Loesung waere sehr sehr langsam. Der Container wuerde von curlftpfs komplett heruntergeladen bevor er geoeffnet werden kann. Dann schiebst du deine Aenderungen rein und laedst ihn wieder vollstaendig hoch. Truecrypt ist ausserdem mehr der Windows- als der Linux-Weg. Schau dir mal tartarus bzw. duplicity an

[Cae]

Das Worst-Case-Szenario wäre, dass jemand das FTP-Passwort abgreift und den Container löscht.

Da du hast bei blankem FTP grundsaetzlich Klartextpasswoerter hast, tritt der angenommene worst case verhaeltnismaessig wahrscheinlich ein. Uebrigens schaetze ich unentdeckte Manipulation als schlimmer ein.

Man fragt sich, ob oeffentliches Bekanntwerden privater Daten (Benutzerpasswoerter, Familienbilder, Kontaktdaten, was auch immer im Backup ist) nicht einen schlimmeren worst case darstellt als das versehenliche/absichtliche Loeschen. Dagegen kann man tatsaechlich mit Verschluesselung etwas tun. Fuer den zweiten Punkt gibt's off-site-Backup.

Gruss Cae

[wanne]

Hi, was hälst du davon auf das backup des Providers einfach ganz zu verzichten?

Ich würde da einfach so machen:
https://wiki.debianforum.de/Vollst%C3%A ... s_Beispiel

Bei deiner methode geht beim verschlüsseln swohl das Passwort wie auch alle Daten im Klartext einmal über's Netz. E
Eine bessere Idee ist sich per ssh das ding üebr den vServer zu ziehen. Dann fliesen die Daten unverschlüsselt nur vom ftp zum vServer. Da die vermutlich beide im gleichen Netz stehen kann es nur da zu ANgriffen kommen statt das das einmal durch's ganze Internet fließt.

[derdomi]

Hallo und vielen Dank für eure Antworten!

Dagegen kann man tatsaechlich mit Verschluesselung etwas tun.

Mein oberstes Ziel ist es, dass die Daten nicht unverschlüsselt übertragen werden. Wenn das mit meiner Methode nicht möglich ist, dann kommt sie nicht in Frage.

Deine Loesung waere sehr sehr langsam.

Darüber habe ich mir leider noch keine Gedanken gemacht.

Schau dir mal tartarus bzw. duplicity an

duplicity schaut nach dem aus, was ich machen möchte. Per Signatur kann man sogar die Integrität überprüfen. Damit wäre unentdeckte Manipulation ausgeschlossen. Ich schaue es mir gerade sehr genau an. Und vor allem, wie viel Rechenaufwand das bedeutet.

was hälst du davon auf das backup des Providers einfach ganz zu verzichten?

Wo sicherst du denn deine Daten hin? Mir ist wichtig, dass min. einmal täglich zumindest die Differenz der Änderungen gesichert werden und das natürlich automatisiert, da man es sonst eh nicht macht.

https://wiki.debianforum.de/Vollst%C3%A ... s_Beispiel

Das ist doch aber nicht zur täglichen Sicherung geeignet.

Eine bessere Idee ist sich per ssh das ding üebr den vServer zu ziehen.

Das weiß ich. Aber leider habe ich dazu keine Möglichkeit, da ich zu Hause keinen Rechner 24h/7d laufen lassen möchte und nur einen vServer besitze, da mir das für meine privaten Zwecke genügt (sofern ich eine gute Sicherung erstellen kann ).

Dann fliesen die Daten unverschlüsselt nur vom ftp zum vServer.

Das verstehe ich jetzt nicht ganz. In welchem Falle fleißen Daten unverschlüsselt?


Grüße
Dominik

[Cae]

was hälst du davon auf das backup des Providers einfach ganz zu verzichten?

Wo sicherst du denn deine Daten hin? Mir ist wichtig, dass min. einmal täglich zumindest die Differenz der Änderungen gesichert werden und das natürlich automatisiert, da man es sonst eh nicht macht.

An einen anderen Standort, wo ich physikalisch neben der Maschine stehen kann. Z.B. nach Hause.

Gruss Cae

[uname]

Wenn du zuhause Debian hast könntest du täglich falls der Rechner gestartet wird automatisch und inkrementell über SSH sichern.
Zentral kannst du vielleicht täglich die Änderungen in ein TAR-Archiv packen, verschlüsseln und per FTP zum Backup-Space kopieren.

[derdomi]

Guten Abend!

Ich denke, ich bleibe nun kurzfristig bei duplicity.

Mittel- und langfristig muss ich mir sowieso mal Gedanken über neue Backup-Strategien überlegen. Dort wird der vServer mit Sicherheit ebenfalls berücksichtigt werden.

Eine Frage hätte ich aber noch am Rande: Welche Verzeichnisse machen denn Sinn zu sichern? /etc, /home, /opt, /srv, /usr und /var oder doch lieber gleich alles? Gibt es Verzeichnisse, auf die man komplett verzichten kann (z.B. /var/cache)?
Tut mir Leid, falls das schon irgendwo steht. Es fehlt mir der passende Suchbegriff.


Vielen Dank und schöne Grüße
Dominik

[schorsch_76]

Alles. Denn ein Backup soll ja den gesamten Rechner sichern. Du kannst /tmp aussen vor lassen. Ok.

Gruß
schorsch

[uname]

Alles.

Naja. Vom laufenden System /proc und /sys zu sichern macht wohl eher weniger Sinn Bei /var muss man mindestens aufpassen, um wichtige Teile nicht zu vergessen. Aber mir entfällt auch immer was zu sichern ist.