Dorlas Jul 6 2024 at 04:46

Защита бекапов с помощью ChatGPT4 — строим LastHope сервер

Medium

6 min

2.3K

Configuring Linux*Backup*

Tutorial

Comments 21

adron_s Jul 6 2024 at 05:32

Хорошая статья, особенно понравилось понимание проблем с безопасностью HyperV. Вопрос к автору: а почему просто не перевести всю виртуализацию на ProxMox?

Dorlas Jul 6 2024 at 05:37

Компания не моя, там и с освоением HyperV проблемы, до Proxmox им пока далеко (понимания)... Но надеюсь когда нибудь их скиллы (админов) подрастут и до таких технологий!

werter_l Jul 7 2024 at 15:07

Это что ж за компания такая? :)

P.s. Proxmox, ceph, zfs, pfsense и все-все-все https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-и-все-все-все-часть-2/

Dorlas Jul 8 2024 at 03:42

Любая компания, чья деятельность не связана с IT, и у которой нет понимания важности IT ))))

werter_l Jul 9 2024 at 08:14

Но есть жадность и идиотизм рук-ва.

Знакомая до боли ситуация (

NikaLapka Jul 6 2024 at 07:04

Нужно было или сразу ставить собственника перед фактом, что нужен отдельный компьютер, который будет забирать, получать бэкапы, или никак больше. При этом настройки не так уж и важны, т.к. тут масса вариантов, начиная от запущенного .cmd файла в цикле.

И позвольте дать совет, если Интернет безлимитный, то ночью можно ещё всё выгружать в какое-нить облако, благо 1Тб сейчас по скидки от того же маил.ру(1045 руб\год) выходит дешевле использования HDD.

pfsenses Jul 6 2024 at 07:19

В облако можно как выгружать, так и удалять с него. Так что проблему оно не очень решает. Да и терабайт - это вообще ни о чем. Разве что для совсем микро бизнеса.

werter_l Jul 7 2024 at 15:10

Можно развернуть minio - там есть Object Locking. C ним просто так удалить не получится.

MinIO Object Locking https://min.io/docs/minio/linux/administration/object-management/object-retention.html

Using MinIO with Veeam https://min.io/docs/minio/linux/integrations/using-minio-with-veeam.html

pfsenses Jul 7 2024 at 15:57

Если есть доступ к ОС, где он развернут, удалить данные проблем не составит.

Ну и не уверен, что MinIO будет работать с указанным выше диском от мейла/Яндекса/etc.

Уж лучше использовать уже готовые предложения от сервис провайдеров. Которые презентуют напрямую S3.

werter_l Jul 9 2024 at 08:19

А если есть ФИЗИЧЕСКИЙ доступ к серверу и паяльник\утюг, то тут и говорить не о чем )

Давайте без крайностей.

kalapanga Jul 6 2024 at 07:38

И при чём здесь ChatGPT4? Очередной кликбейт. С таким же успехом статью можно назвать "Защита бекапов с помощью Google", "Защита бекапов с помощью Васи Пупкина", "Защита бекапов с помощью такой-то матери". В статье практически только в одном месте нужно подставить имя помощника и всё.Удалите из статьи упоминание ChatGPT - это не повлияет ни на что.

dimsoft Jul 6 2024 at 08:53

Не решена главная задача - злоумышленник всё ещё может попасть по сети и испортить бекапы.

Вариант:

1) Отдельная NAS ZFS которая не управляется по сети

2) Ежедневные снепшоты ZFS

Dorlas Jul 8 2024 at 03:43

Расскажите, как можно по сети попасть на Linux, который не принимает никакие соединения (TCP/UDP) ?

dimsoft Jul 8 2024 at 04:31

В статье прописан вход по ssh

-A INPUT -s XX.XX.XX.XX/32 -i enp3s0 -p tcp -m tcp --dport 22 -j ACCEPT

Dorlas Jul 8 2024 at 04:51

А также отдельно сказано, что можно закрыть вообще, открывать только по Port Knock и т.д. В чем претензия, не пойму )

foxb Jul 6 2024 at 12:00

VEEAM имеет версию для Linux. Почему бы не использовать ее для управления резервными копиями вместо скриптов? Это также добавит функциональность иммутабилити.

pfsenses Jul 7 2024 at 16:00

Консоль Veeam пока только на винде.

Есть репозитории, прокси, агенты.

Ну и локальный immutable, при наличии доступа к хосту, где расположен репозиторий, на самом деле не очень immutable.

Johan_Palych Jul 6 2024 at 18:03

Просто для информации:
https://wiki.debian.org/iptables
NOTE: iptables was replaced by nftables starting in Debian 10 Buster
Осталась минимальная альтернатива iptables-legacy
Развернуть минимальный Debian 12 (Bookworm) на отдельный диск(желательно SSD NVMe) и поставить OMV 7.x(OpenMediaVault). Пул для nas - любые диски.
Удобнй web interface и много плагинов. Легкий порог вхождения для одминов локалхостов этой фирмы.
https://github.com/orgs/OpenMediaVault-Plugin-Developers/repositories
Ручна установка на Debian:

wget https://github.com/OpenMediaVault-Plugin-Developers/installScript/raw/master/install
chmod +x install
sudo ./install -n

werter_l Jul 7 2024 at 15:12

Truenas scale тогда. Оч удобная админка + возможность установки приложений одним кликом (apps).

Dorlas Jul 7 2024 at 19:09

Я не знаю, как без скрипта обеспечить на TrueNAS или на OMV тот алгоритм выгрузки VBR, как мне написал GPT4 ИИ...чтобы из кучи файлов, среди которых Full, инкременты и метаданные, вытаскивались только VBK (Full Backup), копировались куда нужно, хранились в нужном количестве и ротировались по дискам.
А если это можно только скриптом реализовать, зачем мне лишние сервисы и консоли? Все это может увеличивать "поле атаки".

werter_l Jul 9 2024 at 08:18

Все придумано до нас.

Про связку veeam + minio давал ссылку ранее - ознакомьтесь.

Minio в неск-ко кликов развертывается на трунас-е + загуглить по truenas data protection snapshots