domingo, 19 de mayo de 2019

Mis backups

Hoy os quiero contar cómo hago yo mis backups ahora mismo. Digo ahora mismo porque podría cambiar, pues la forma en la que hacía backups hace 1 año no es la misma manera que utilizo ahora, pero creo que os puede servir de guía por si queréis hacer backups de la misma forma que las hago yo.



Step 1: Crontab que automatice las backups

Os dejo este post de referencia, pero este es uno de los ejemplos de cómo mi protocolo de backup ha ido cambiando. Lo que yo suelo hacer actualmente es crearme un script que lee en un fichero los ficheros a copiar y crea un tar con estos archivos y los pasa a /var/backups.


Estoy escribiendo este artículo el día 7, por lo que diréis que faltan la de los días 5 y 6 ¿no? Si os fijáis un poco más, veréis que esos archivos se han creado a las 23:01 y esto es porque en el crontab tengo establecido que el script de backup se ejecute a las 23:00 cada día. Así pues, el motivo de que no estén esos días es que el 5 era domingo y al día siguiente madrugaba y apagué el equipo antes de las 23:00, por lo que no hizo la backup, lo mismo ocurrió el día 6. Obviamente, si el equipo no está encendido no va a copiar nada.

Step 2: miércoles y domingos, hora de almacenarlos de forma segura.

Aquí viene otro cambio. Antes pasaba estas backups por ssh a una Raspberry, pero ahora no. Ahora mismo soy bastante escéptico sobre lo de pasar backups aunque sea por ssh. No me convence del todo, ya que (aunque nos pongamos paranoicos) cualquiera podría hacer un MiTM y hacerse pasar la Raspberry. Si conoce la contraseña, crearía un usuario y contraseña que sean iguales a los de la Raspberry y si, para la copia, utilizase ssh con passwd, lo tendría hecho, me podría desconectar haciendo un ataque 0 de desconexión de la Raspberry y conectarse él, dejándose como IP estática la IP de mi Raspberry.

Pero podría ir más allá si consiguiese atacar a la Raspberry y, en caso de utilizar claves ssh para evitar el uso de contraseñas y automatizar este proceso con un crontab también, podría robar la clave ssh y suplantar al 100% la Raspberry. Seré paranoico, pero no me fio.

(INCISO: Cualquiera podría decir 

-Pero Manu, cifra también los tar

Es cierto, podría hacerlo también, pero si me he puesto en el escenario de un atacante que ha atacado a la Raspberry y ha robado la clave ssh, tampoco es que confíe en fiarme por tener cifradas las backups)

Entonces ¿Cómo lo hago ahora? Mucho más rudimentario, pero sobre seguro. Todos los miércoles y todos los domingos, saco mi disco duro externo, el cuál está cifrado obviamente y no lo enchufo a ningún equipo que no sea el mío de confianza y paso las backups al disco duro cifrado.

Ese mismo día,  saco mi portátil que ya os comenté que no tiene tarjeta de red y que también está cifrado. De esta forma, ya tengo backup de mis datos en 3 sitios distintos, cifrados y uno, sin conexión a internet y dentro de un cajón apagado, otro es un disco duro cifrado y el otro es mi portátil persona que también está cifrado, pero que si pierdo los datos ahí o formateo el ordenador, no pasa nada, pues tengo backup en otros 2 dispositivos. Todo por la seguridad y disponibilidad de mis datos.

Step 3: Copia del sistema porque nos vamos de viaje.

Esto es algo que no hago siempre que me voy de viaje, pero sí que muchas veces (sobre todo cuando son viajes de avión o relativamente lejos dentro de la Península), me hago una copia de mi /dev/sda a mi disco duro en imagen iso.


Hacerlo es sencillo, aunque tardará un rato, eso sí.




Nos va a ser de mucha utilidad el tener una ISO de nuestro sda en caso de que nos falle el equipo y estemos en mitad de un país extranjero sin muchas opciones a que el soporte lo revise. Esto nos ayudará a aguantar el tiempo necesario hasta dar con la solución del problema y creedme que me ha sacado de algún apuro.

Estos son los pasos que normalmente doy para hacer las copias de seguridad, puede ser más laborioso coger discos duros cifrado y otro portátil cifrado y pasarlo de forma manual en lugar de por SSH, pero yo lo prefiero ya que lo estoy viendo yo y me quito de posibles problemas por ataques MiTM, aunque sí es cierto que en un entorno empresarial no siempre es buena idea hacerlo de forma manual, más que nada porque unos servidores pueden estar en Alemania y nosotros en España. Pero para andar por casa, es una solución bastante válida

¿Hackeamos el Mundo?


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...