Бэкап-сервер через виртуалку на локалхосте

backup, localhost, виртуализация, виртуальная машина

0

1

Привет.
Добровольно помогаю с компьютером одному инженеру на пенсии. На компе ведётся конструкторская деятельность (Компас-3Д, MS Office). Стоит Avast. Применены политики ограниченного использования программ (белый список, проще говоря). Но пользователь, по ряду причин, имеет права администратора.

В связи с существованием троянов-шифровальщиков хочу организовать бэкап критичных
данных, причём такой, чтобы к ним не было прямого доступа из базовой системы.

Варианты:
1) облако от Яндекс/Гугл. Плюсы: облако. Минусы: недостаточный бесплатный объём; не уверен в изоляции.
2) второй жёсткий диск, изолированный через виртуалку: в хост-системе крутится виртуалка с легковесным Linux-ом, владеющая вторым жёстким диском; виртуалка по rsync бэкапит данные с винды, а винда доступа к этому диску не имеет.
Достоинства: бесплатность, много места для бэкапа.
Недостатки: ???

Как вам идея? Есть ли подводные, что я не вижу?

Ссылка

← после монтирование s3fs не работает chown

Временно отключить шифрование в Postfixadmin/Roundcube →

Есть ли подводные, что я не вижу?

Как вариант — шифровальщику может оказаться пофигу на то, что на втором диске нет NTFS и на нем нет разделов оффтопика и он поработает с ним на блочном уровне или просто случайный зловред похерит на нем таблицу разделов/заполнит его нулями. С правами администратора под Win у пользователя ни о какой изоляции речи быть не может.

Deleted
(12.01.19 17:15:21 MSK)

Ответ на: комментарий от Deleted 12.01.19 17:15:21 MSK

Мало смысла шифровать блочное устройство (ибо жертва должна видеть файлы и хотеть получить их обратно). А про админские права я учту, спасибо.

An12 ★
(12.01.19 20:02:00 MSK) автор топика

Ссылка

Настрой бэкап в AWS S3 с помощью Duplicati. Работает хорошо. S3, в отличие от обычной виндовой шары, шифровальщики, с вероятностью более 99%, не тронут.

То, что ты описал - значительно менее надёжно. То есть, факап с данными может получиться просто из-за сбоя виртуалки или ошибочного действия пользователя.

Harliff ★★★★★
(12.01.19 23:09:53 MSK)

Ссылка

Можно просто внешний USB-шный диск с Linux-om - загружаться с него и бэкапить туда же (скриптец какой-нибудь написать). Ручная операция, конечно, но надёжно )

~~vinvlad~~ ★★
(12.01.19 23:15:10 MSK)

Ссылка

отдельный комп для бекапов с виндой

Vlad-76 ★★★★
(14.01.19 10:55:23 MSK)

Ссылка

если пользователь имеет права администратора, то вся остальная защита как яйца коту вылизать - имитация кипучей деятельности...
велосипедить поверх онного безобразия виртуалбокс еще большое извращение.
если уж хочешь сделать что-то отдельное - возьми NAS, хотя будучи постоянно подключенным по дырявой самбе - «не фариант» но все таки чуть большая защита. можно не все по самбе отдавать

бекап со сжатием 7зип и заливкой в яндекс-облако через curl делается батником в несколько строчек. куча статей по ентому поводу гуглится на 1-2-3.
для документов большего нафих не нужно (я имею у него там не видосики «как сделать розочку в компасе.1080р.mp4»). ну максимум дописать инкрементальные/дифференциальные бекапы.

pfg ★★★★★
(14.01.19 11:33:57 MSK)