LINUX.ORG.RU
ФорумAdmin

Backup. Как изолировать резервный диск от системы?


1

1

Приветствую!

Делаю backup системы командой

rsync -a --delete ...
плюс отдельный backup базы данных.
С полученного резервного диска можно загружаться.

Планировал использовать такую технологию:
1-2 раза в сутки подключать резервный диск «на-горячую» к серверу, делать бэкап и отключать («на-горячую»).
Но спецы из техподдержки фирмы-продавца сервера не советуют такой способ.

Вопрос: Как можно максимально (для данной ситуации) обезопасить (изолировать) данные на резервном диске от системы, чтобы они не пострадали от вредоносных программ, внешнего вмешательства, если диск будет постоянно подключен.

Ну и может кто-то имеет опыт с подключением/отключением «на-горячую» 1-2 раза в сутки? В течение какого времени? Были-ли проблемы?

Система: Supermicro, debian 7.

Благодарю заранее!

Как можно максимально (для данной ситуации) обезопасить (изолировать) данные на резервном диске от системы, чтобы они не пострадали от вредоносных программ, внешнего вмешательства, если диск будет постоянно подключен.

Выключать диск. Для включения пересканировать шину. Не знаю, что у тебя там и как.

Ну и может кто-то имеет опыт с подключением/отключением «на-горячую» 1-2 раза в сутки? В течение какого времени? Были-ли проблемы?

Имею. Лет пять наверно. Не было. SATA-диски, десктопные платформы на логике AMD.

Gotf ★★★ ()
Ответ на: комментарий от Gotf

Выключить

Какие программы, команды? Куда копать, как говориться?
Нашел laptop-mode-tools, еще не разобрался - может не то.

san-sanych ()
Ответ на: комментарий от san-sanych

Какие программы, команды?

echo 1 > /sys/block/sda/device/delete

Обязательно отмонтировать перед этим. Сканирование шины может и не сработать.

Gotf ★★★ ()
Ответ на: комментарий от sin_a

Размонтируй

Вот и я думаю - достаточно этого для того, чтобы уберечь данные от вредоносного ПО?

Как-бы так сделать, чтобы диска вроде как и небыло до наступления определенных событий?

san-sanych ()
Ответ на: комментарий от Gotf

echo 1 > /sys/block/sda/device/delete

Для подключения, соответственно: echo 0 > /sys/block/sda/device/delete ?

san-sanych ()
Ответ на: комментарий от san-sanych

Я же сказал: сканировать шину. После удаления устройство для ядра перестаёт существовать.

Gotf ★★★ ()
Ответ на: комментарий от san-sanych

достаточно этого для того, чтобы уберечь данные от вредоносного ПО?

Зависит от уровня ПО. Есть основания ожидать целенаправленной атаки?

А от проблем с питанием, например, и удаление (логическое) устройства не поможет.

sin_a ★★★★★ ()

отключать шину данных

teod0r ★★★★★ ()
Ответ на: комментарий от san-sanych

Какие программы, команды? Куда копать, как говориться?

Мой пример. Гасится диск на котором находится vg0.

#!/bin/sh

DEV="`/sbin/pvscan | /usr/bin/awk '$4 == "vg0" {split($2,a,"/"); sub(/[0-9]/,"",a[3]); print a[3]; exit 0}'`"


if [ "$1" = "spindown" ]; then
        if /sbin/vgchange -an vg0; then
                [ -n "$DEV" ] && /usr/bin/sg_start --stop /dev/$DEV
                [ -n "$DEV" ] && echo 1 > /sys/block/$DEV/device/delete
        else
                echo "Can not deactivate VG0"
        fi
fi


if [ "$1" = "spinup" ]; then
        # looking for host device
        for h in /sys/class/scsi_host/host* ; do        
            [ `cat $h/proc_name` = 'sym53c8xx' ] && echo '- - -' > $h/scan 
        done
        echo "sleep 30"
        sleep 30
        vgchange -ay vg0
fi
sdio ★★★★★ ()
Последнее исправление: sdio (всего исправлений: 1)

Ну и может кто-то имеет опыт с подключением/отключением «на-горячую» 1-2 раза в сутки?

Чтобы доставать правильно его отключить в RAID контроллере. Доставать диск вовсе не обязательно.

andrew667 ★★★★★ ()

rsync -a --delete
С полученного резервного диска можно загружаться.

такой бекап живой ОС под нагрузкой - это лотерея.

vxzvxz ★★★ ()
Ответ на: комментарий от san-sanych

достаточно этого для того, чтобы уберечь данные от вредоносного ПО?

а как не забэкапить уже скомпрометированную ОС?

vxzvxz ★★★ ()

Как можно максимально (для данной ситуации) обезопасить (изолировать) данные на резервном диске от системы

  • Подключать диск по сети (ssh, SUN, NAS или другие варианты). /После определенных действий запрещать доступ с бэкапируемого хоста.
petav ★★★★★ ()
Ответ на: комментарий от vxzvxz

Спасибо, vxzvxz, за доп. информацию.

такой бекап живой ОС под нагрузкой - это лотерея.

Планирую на ночное время (или раннее утро). Пока проблем небыло.
Этот бэкап занимает всего несколько секунд, базу данных все равно бэкпаплю отдельно.
Идея еще и в том, что в случае проблем с RAID и прочее, можно загрузиться с резервного диска и пока будеш ковыряться - сервер будет работать.

а как не забэкапить уже скомпрометированную ОС?

А как ?

san-sanych ()
Ответ на: комментарий от petav

Подключать диск по сети (ssh, SUN, NAS или другие варианты). /После определенных действий запрещать доступ с бэкапируемого хоста.

petav, Вы имеете ввиду сетевые диски (в мобильных корпусах) или резервный диск на отдельной машине?

san-sanych ()
Ответ на: комментарий от san-sanych

Вы имеете ввиду сетевые диски (в мобильных корпусах) или резервный диск на отдельной машине?

Я имею ввиду отдельную машину развязанную гальванически и логически от бэкапируемой. FTP, iSCSI, Samba что-то из этого.

petav ★★★★★ ()
Ответ на: комментарий от petav

Я имею ввиду отдельную машину

Понятно.
На будущее планирую и отдельную машину для бэкапа и резервный веб-сервер и может еще что-то.
Я не отношусь к людям, которые недооценивают бэкапы. Скорее наоборот. Но пока так.

san-sanych ()
Ответ на: комментарий от Gotf

Не будет ли безопасней для диска и системы (или наоборот) такой вариант:

scsi_stop /dev/sdb   # Останавливаем шпиндель
sudo sh -c " echo 1 > /sys/block/sda/device/delete"   # Удаляем диск
san-sanych ()
Ответ на: комментарий от san-sanych

Я не разделяю Ваше мнение, что вытаскивать диск это сохранно. Трудно понять когда os себя скомпрометировала. Если развивать мысль то каждый бэкап надо на отдельный диск запихивать или на что-то не перезаписываемое. К примеру DVD-R. Вставил DVD-R система нашла чистый сделала на него бэкап, но это если 4,7Гб (может уже больше есть). Аналогично можно подключать USB устройство, опознавать его и на него закидывать бэкап. Если посидеть можно вариантов набросать не затратных на первое время.

petav ★★★★★ ()
Ответ на: комментарий от petav

Если посидеть можно вариантов набросать не затратных на первое время

Можно. Главное, чтобы этих вариантов было не слишком много :) Чтобы не запутаться в бэкапах :)
Можно и флешки использовать, только лучше, видимо, делать их парочку за раз.
Но с флешки веб-сервер работать нормально - само-собой - не будет, в случае чего.
А на DVD-R можно, например, загнать образ свежеустановленной настроенной системы, чтобы в случае чего по-быстрому переустановить, не тратя уйму времени на настройку.

san-sanych ()
Ответ на: комментарий от petav

Трудно понять когда os себя скомпрометировала

Минимизировать ущерб можно, видимо, только делая бэкап по всем правилам: ежедневный, еженедельный, двухнедельный, месячный и т.д.

san-sanych ()
Ответ на: комментарий от san-sanych

В общем, проблема решена. Способ предложил Gotf, за что ему Спасибо.
Тема закрыта.
Спасибо всем, кто принял участие в обсуждении проблемы!

san-sanych ()
Ответ на: комментарий от san-sanych

То же самое, по крайней мере теоретически.

Gotf ★★★ ()
Ответ на: комментарий от san-sanych

А как ?

есть утилиты проверяющие целостность, неизменность файлов ОС

базу данных все равно бэкпаплю отдельно

это правильно.

Пока проблем небыло.

везет или реальной нагрузки, работы на сервере нет.

отдельную машину для бэкапа и резервный веб-сервер

если основная задача веб, то почему не посмотреть в сторону виртуализации, лично я использую kvm on zfs, можно получать копию всего вирт. сервера за одно мгновенье без останова и падения произв. в любое время

vxzvxz ★★★ ()
Ответ на: комментарий от vxzvxz

есть утилиты проверяющие целостность, неизменность файлов ОС

vxzvxz, перечислите, пожалуйста, названия - необходимый минимум, так сказать. Мой список пока: rkhunter, tiger, chrootkit.

везет или реальной нагрузки, работы на сервере нет.

Поделитесь, пожалуйста, как делаете бэкап Вы?

anonymous ()

e-sata pci-e(pci) adapter?

Deleted ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.