Zabezpieczenie kopii płatnika

[Turek 0]

Witam, mam serwer na którym jest baza(SQL) płatnika i chciałbym robić kopię bezpieczeństwa płatnika codziennie po godzinie 18 jak wyjdą wszyscy pracownicy z firmy.

I tutaj moje pytanie, to ze kopia się robi to jest wszystko w porządku, tylko chciałbym robić tą kopię w takie miejsce stworzone na serwerze lokalnym, żeby żaden ransomware itp. nie był wstanie zablokować bazy.

 

Jakies sugestie ?

[Gobli 0]

Bezpieczna kopia zapasowa to taka, która ma swoją kopię

Jak chcesz ją zabezpieczyć przed ransomware, zrzucaj ją co jakiś czas na nośnik zewnętrzny (nie podłączony na stałe) lub do jakiejś "chmury"

 

 

[Turek 0]

Bezpieczna kopia zapasowa to taka, która ma swoją kopię

Jak chcesz ją zabezpieczyć przed ransomware, zrzucaj ją co jakiś czas na nośnik zewnętrzny (nie podłączony na stałe) lub do jakiejś "chmury"

odpada trochę taki pomysł bo chce to robić zdalnie, a do chmury nie bardzo bo baza dość duża

[narmiak 386]

Kup do serwera napęd taśmowy i po każdej kopii wyciągaj kasetę, którą będziesz przechowywać w sejfie czy czymś podobnym. Kup powiedzmy 10 taśm i zapiszesz numer 10, to wyczyść #1 i tak w kółko.

[Turek 0]

Kup do serwera napęd taśmowy i po każdej kopii wyciągaj kasetę, którą będziesz przechowywać w sejfie czy czymś podobnym. Kup powiedzmy 10 taśm i zapiszesz numer 10, to wyczyść #1 i tak w kółko.

Czasami mam wrażenie, że to forum wyludniło się z mądrych ludzi

[Tartar 10]

Czasami mam wrażenie, że to forum wyludniło się z mądrych ludzi

 

Czy możesz uzasadnić swoją wypowiedź? Jestem bardzo ciekawy czemu tak uważasz.

[Qwinto 413]

odpada trochę taki pomysł bo chce to robić zdalnie, a do chmury nie bardzo bo baza dość duża

Kup do serwera napęd taśmowy i po każdej kopii wyciągaj kasetę, którą będziesz przechowywać w sejfie czy czymś podobnym. Kup powiedzmy 10 taśm i zapiszesz numer 10, to wyczyść #1 i tak w kółko.

Ciekawe jak to zrobi zdalnie... No chyba że jakaś prosta zmieniarka lub biblioteka taśmowa

 

Robisz backup lokalnie, a potem jakiś inny serwer pobiera sobie z tego miejsca backup do siebie. Tylko ważne, żeby to ten drugi komp/serv inicjował pobieranie.

[needen 1]

Jak biblioteka taśmowa to LTO3 z dwoma zasobnikami po 3lub 4 taśmy na zasobnik, już teraz nie pamiętam

To było żonglowanie taśmami.

Taśmy dzienne zmieniane co tydzień

Taśma niedzielna tygodniowa (2 komplety)

Taśma miesięczna na ostatni dzień miesiąca (3 komplety)

oraz taśma roczna też oczywiście były 3 takie taśmy

 

Taśmy przechowywane były w sejfie w oddzielnej strefie pożarowej ubezpieczone również od zalania

 

to były czasy

[Qwinto 413]

Jak biblioteka taśmowa to LTO3 z dwoma zasobnikami po 3lub 4 taśmy na zasobnik,

Jaka biblioteka, zwykła zmieniarka... Takie żonglowanie to robiło się na DDS-3/DDS-4 i jeszcze trzeba było backup tarować na kilka tasiemek, bo na jedną nie wchodził. Potem były biblioteki z prawdziwego zdarzenia StorageTek'a, tasiemki oznaczone kodem kreskowym. I to były biblioteki, takie na 180, 700 tasiemek LTO różnych wersji. Dobra koniec offtopa.

[narmiak 386]

Czasami mam wrażenie, że to forum wyludniło się z mądrych ludzi

Fakt, że chcesz to robić zdalnie dodałeś w kolejnym poście.

 

Ale jest i druga opcja. Stawiasz obok jakiś komputer/serwer/NAS, wpinasz to w osobny VLAN, do którego będzie miał dostęp tylko ten serwer, oraz maszyna z bazą danych i na firewallu blokujesz WSZYSTKO z wyjątkiem portów FTP/FTPS/SFTP (skonfiguruj sobie jak chcesz). Maszynę ustawiasz, żeby startowała chwilę przed 18 i tworzysz skrypt, który ją wyłączy po zakończeniu backupu, albo o określonej godzinie (jeżeli backup "utknie").

[zyb3usz 14]

Fakt, że chcesz to robić zdalnie dodałeś w kolejnym poście.

 

Ale jest i druga opcja. Stawiasz obok jakiś komputer/serwer/NAS, wpinasz to w osobny VLAN, do którego będzie miał dostęp tylko ten serwer, oraz maszyna z bazą danych i na firewallu blokujesz WSZYSTKO z wyjątkiem portów FTP/FTPS/SFTP (skonfiguruj sobie jak chcesz). Maszynę ustawiasz, żeby startowała chwilę przed 18 i tworzysz skrypt, który ją wyłączy po zakończeniu backupu, albo o określonej godzinie (jeżeli backup "utknie").

 

A do bazy i programu i tak muszą mieć dostę kompy, które zostaną zarażone i prześlą ten syf, na "twoje bezpieczne rozwiązania"

[narmiak 386]

A do bazy i programu i tak muszą mieć dostę kompy, które zostaną zarażone i prześlą ten syf, na "twoje bezpieczne rozwiązania"

Dlatego oddzielny VLAN, do którego najlepiej dostęp miał by wyłącznie serwer z bazą przez osobną sieciówkę, blokada WSZYSTKICH portów poza tymi wymaganymi do transferowania plików, oraz wyłączanie serwera z backupami na czas, kiedy nie będzie wykorzystywany. Jeżeli to baza produkcyjna, która zostanie zaszyfrowana, to prawdopodobnie zorientują się dostatecznie szybko, aby odłączyć maszynę z backupami od sieci. Stąd też FTP a nie zwykłe SMB, bo ransomware zazwyczaj nie będzie w stanie zaszyfrować czegoś, co nie jest globalnie dostępne na zainfekowanym serwerze.

[Andy. 2]

Jakies sugestie ?

 

Jak mam to rozwiązane w kilku firmach tak: jeśli chodzio bazę Płatnika w SQL to wystarczy skrypt

osql, który będzie uruchamiany z harmonogramu zadań o określonej porze. Tym sposobem będziesz miał pełną kopię bazy. Katalog z kopiami

jest następnie synchronizowany z OneDrive i dodatkowo przez Cloud Station Backup z NASem Synology. W takim układzie przechowywane są do 32

wersji pliku z kopią bazy. Oczywiście na NASie masz skonfigurowane odpowiednie uprawnienia. Nie ma co popadać w przesadę.

[Auberon 240]

a potem przychodzi jedno przepięcie i pali nasa razem z elektronika dysku ...

postawienie serwera to będzie więcej zachodu jak to warto

a jeśli to ma być odporne na "polskie ransomware" to powinno być na zewnętrznym nośniku

zresztą zdalnie możesz uruchomić nawet nagrywanie na płytę (napisać skrypt wykorzystujący program do nagrywania z wiersza poleceń)

[Andy. 2]

Myślę, że najważniejsze to zachować zdrowy rozsądek i nie ulegać histerii. Skoro ktoś boi się "spalenia nasa z dyskami" to pewnie także obawia się trzęsienia ziemi i zniszczenia nagrywarki płyt. Zresztą - nasa podłącza się przez UPS a nie bezpośrednio do sieci.