Ransomware sicheres Backup mit VZBorg?

antiager

Active Member
Jan 15, 2020
155
5
38
63
61191 Rosbach vor der Höhe
Hallo Forum!

Ich bin auf der Suche nach einer Lösung für ein ransomware sicheres Backup meiner Vms. Ich sichere zur Zeit, meine VMs auf einem Proxmox Backup Server. Ich liebäugle zZt. mit der Hetzner Storage Box als Backupstorage. Bei meiner Suche bin ich auf VZ Borg gestoßen. Das klingt interessant. Meine Frage ist nun hat jemand von euch Erfahrung damit und kann mir vielleicht ein paar Tipps geben, gegebenenfalls auch andere Lösungen vorschlagen.
Vielen Dank für eure Hilfe!
 
Ransomwaresichere Backups mache ich bei meinen Kunden immer mit einem zweiten PBS. Dieser holt die Backups vom ersten per pull und daher kann ich auf dem zweiten die Firewall eingehend komplett zu machen.
Sicherer als komplett nicht erreichbar geht nicht. Wenn du dran musst kannst du über die Konsole oder eine Remotekarte wenn vorhanden, die Firewall wieder aufmachen.

Bei Hetzner kannst du das auch über deren Firewall lösen.
 
  • Like
Reactions: Johannes S and news
Schau mal nach:
$ man zfs-auto-snapshot
$ apt install zfs-auto-snapshot

Hier wird das Packet konfiguriert
{/etc/cron.d, /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly}/-auto-snapshot

* https://docs.oracle.com/cd/E18752_01/html/819-5461/gbchx.html
* https://pve.proxmox.com/wiki/PVE-zsync
* https://www.zfshandbook.com/docs/backup-and-recovery/replication/
* https://www.howtoforge.com/tutorial/how-to-use-snapshots-clones-and-replication-in-zfs-on-linux

An findet doch einiges im Netz.
 
Danke für eure Tipps!

Hetzner storage box und Borgvz nutzt also niemand von euch?
Also Storagebox und Ransomwareschutz, das wird nix. Da hast du per Design immer ein Eintrittstor.
Ransomwaregeschützt sind dann eher Lösungen von Bezahlsoftware, die Immutable auf Cloud S3 Buckets schreiben. Da musst du den ganzen Bucket Killen um die Backups zu löschen. Außerdem ist es heutzutage keine normale Ransomware mehr, es wird wenn ein Tor offen ist, immer Manuell nachgearbeitet um Daten Abzugreifen oder die Daten zu Verschlüsseln/Löschen. Die einfache Ransomware habe ich seit über 2 Jahren gar nicht mehr gesehen.
 
Hetzner storage box und Borgvz nutzt also niemand von euch?

Ich nutze schon die Storagebox, aber nicht für VM Backups, sondern für Daten. Und nicht borg, sondern restic (gleiches Grundprinzip anderes Programm). Bei Borgbz sehe ich nicht so ganz, wo der Vorteil im Vergleich zum PBS sein soll. Wenn man sich das githubrepo anschaut, sieht man dass das für Proxmox VE 5 und 6 entwickelt wurde, da gab es den PBS ja noch nicht. Da es damals mit Hausmitteln keine deduplizierenden Backups gab, hatte borgbz also seine Berechtigung, mit dem PBS hat sich der Sinn verloren.

Zum Rest: zfs replication und Proxmox Backup Server sind erstmal zwei verschiedene Sachen, man kann beides auch prima nutzen, ohne dass man das andere verwendet. Ersteres verwendet die Dateisystemspezifischen Features von zfs, die Laufwerke müssen also entsprechend formatiert sein. Der PBS funktioniert prinzipiell mit jeden Dateisystem, die Entwickler unterstützen dafür aber NICHT Netzwerklaufwerke. Im Heimnetz kann man das trotzdem (mit manuellen Bearbeiten bestimmter Dateien) hinkriegen, aber die Performance wird nicht gerade begeistern. Die Storagebox kann man damit völlig vergessen. Was man aber ganz gut machen kann: Sich einen vserver mieten und darauf den PBS einrichten, das geht für wenig Geld (so habe ich es gemacht). Eine andere Alternative sind PBS Clouddienste wie von tuxis: https://www.tuxis.nl/de/proxmox-backup-server/
Sobald es dann um richtig große Datenmengen gibt, bietet sich dann eher ein eigener offsite-Server an, Falk hat sein Konzept für seine Kunden mal hier beschrieben: https://forum.proxmox.com/threads/ist-es-möglich-pbs-mit-aws-s3-blockspeicher-zu-betreiben.152790

Also Storagebox und Ransomwareschutz, das wird nix. Da hast du per Design immer ein Eintrittstor.
Ransomwaregeschützt sind dann eher Lösungen von Bezahlsoftware, die Immutable auf Cloud S3 Buckets schreiben. Da musst du den ganzen Bucket Killen um die Backups zu löschen. Außerdem ist es heutzutage keine normale Ransomware mehr, es wird wenn ein Tor offen ist, immer Manuell nachgearbeitet um Daten Abzugreifen oder die Daten zu Verschlüsseln/Löschen. Die einfache Ransomware habe ich seit über 2 Jahren gar nicht mehr gesehen.


Naja, man kann bei der Storagebox einstellen, dass regelmäßige automatisch zfs Snapshots gemacht werden, die auch mit ssh Zugriff nicht bearbeitet werden können, also auch nicht durch einen Angreifer. Diese regelmäßigen Snapshots können dabei wöchentlich oder monatlich sein, im kleinsten Paket werden bis zu zehn Snapshots vorgehalten, im größeren auch mehr. Mit 20 wöchentlichen Snapshots kommt man schon recht weit. Was da eher ein Ärgernis ist, dass die Storagebox als Medium immer mit HDDs arbeitet mit entsprechenden Folgen für die Performance.

Trotzdem: Für meine Datenbackups mit restic bin ich damit sehr zufrieden (also den Rohdaten auf meiner NAS und vom Notebook).

Und bei S3 ist das Ding, dass der PBS das ja aktuell nicht unterstützt. Dir muss man das ja nicht sagen (siehe verlinkter Thread oben), aber bevor antiager sich falsche Hoffnungen macht...
 
  • Like
Reactions: Falk R. and UdoB
Ich nutze schon die Storagebox, aber nicht für VM Backups, sondern für Daten. Und nicht borg, sondern restic (gleiches Grundprinzip anderes Programm). Bei Borgbz sehe ich nicht so ganz, wo der Vorteil im Vergleich zum PBS sein soll. Wenn man sich das githubrepo anschaut, sieht man dass das für Proxmox VE 5 und 6 entwickelt wurde, da gab es den PBS ja noch nicht. Da es damals mit Hausmitteln keine deduplizierenden Backups gab, hatte borgbz also seine Berechtigung, mit dem PBS hat sich der Sinn verloren.

Zum Rest: zfs replication und Proxmox Backup Server sind erstmal zwei verschiedene Sachen, man kann beides auch prima nutzen, ohne dass man das andere verwendet. Ersteres verwendet die Dateisystemspezifischen Features von zfs, die Laufwerke müssen also entsprechend formatiert sein. Der PBS funktioniert prinzipiell mit jeden Dateisystem, die Entwickler unterstützen dafür aber NICHT Netzwerklaufwerke. Im Heimnetz kann man das trotzdem (mit manuellen Bearbeiten bestimmter Dateien) hinkriegen, aber die Performance wird nicht gerade begeistern. Die Storagebox kann man damit völlig vergessen. Was man aber ganz gut machen kann: Sich einen vserver mieten und darauf den PBS einrichten, das geht für wenig Geld (so habe ich es gemacht). Eine andere Alternative sind PBS Clouddienste wie von tuxis: https://www.tuxis.nl/de/proxmox-backup-server/
Sobald es dann um richtig große Datenmengen gibt, bietet sich dann eher ein eigener offsite-Server an, Falk hat sein Konzept für seine Kunden mal hier beschrieben: https://forum.proxmox.com/threads/ist-es-möglich-pbs-mit-aws-s3-blockspeicher-zu-betreiben.152790




Naja, man kann bei der Storagebox einstellen, dass regelmäßige automatisch zfs Snapshots gemacht werden, die auch mit ssh Zugriff nicht bearbeitet werden können, also auch nicht durch einen Angreifer. Diese regelmäßigen Snapshots können dabei wöchentlich oder monatlich sein, im kleinsten Paket werden bis zu zehn Snapshots vorgehalten, im größeren auch mehr. Mit 20 wöchentlichen Snapshots kommt man schon recht weit. Was da eher ein Ärgernis ist, dass die Storagebox als Medium immer mit HDDs arbeitet mit entsprechenden Folgen für die Performance.

Trotzdem: Für meine Datenbackups mit restic bin ich damit sehr zufrieden (also den Rohdaten auf meiner NAS und vom Notebook).

Und bei S3 ist das Ding, dass der PBS das ja aktuell nicht unterstützt. Dir muss man das ja nicht sagen (siehe verlinkter Thread oben), aber bevor antiager sich falsche Hoffnungen macht...
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!