Как обезопасить бекапы проекта?

Question

[iliyaisd]

Есть проект, который бекапится на сервера Selectel с помощью rclone. Проект и механику бекапов обсуждали здесь: https://toster.ru/q/542910

Учитывая, что бекапы инкрементальные, каким образом можно обезопасить бекапы в случае взлома (когда злоумышленник получит доступ и к credentials хостинга бекапов) либо в случае поломки проекта, когда плохие изменения зайдут поверх хороших?
Пока что вижу два варианта:
- Бекапить в несколько хранилищ (по типу снапшотов)
- Бекапить через дроп хост (не напрямую на сервер бекапов): дроп хост забирает файл по scp и заливает через rclone. Но это уже получается слишном сложно.

Как лучше выйти из положения?

Спасибо!

Answer 1

[sim3x]

Чексуммы
Подписывать
Шифровать

Гит или любая не оптимизированная под бинарники vcs - не надо

Comments

[sim3x]

Nikolay Petyukh, для бекапа? Нет

[pfg21]

защита файла бекапа от вскрытия - шифрация. вариантов вагон и маленькая тележка.
у гита для бинарников много оверхеда.
синхронить файлы - любым файловым синхронизатором. мне для мелких нужд полюбился syncting (resilio sync). продвинутый вариант rsync

[sim3x]

pfg21, https://git-lfs.github.com/

[pfg21]

sim3x, git lfs это файлики, лежащие на отдельно от репы на серверах, и прикрученные к гит-репозиторию на добротном скотче.
и поднимать такое для бекапа ?? лучше взять файлоориетированную систему. у мну гоняется syncthing. rsync и иже с ними.

[sim3x]

pfg21,

обезопасить бекапы в случае взлома

Когда проприетарщина ломается и чинить ее дольше и муторнее

[pfg21]

sim3x, syncthing rsync - опенсорс с большими обществами :)

[sim3x]

pfg21, шифрование, чексуммы?

[pfg21]

sim3x, у синха указанное в комплекте.
в rsync шифра нету, чексумма есть.

[sim3x]

pfg21, как в рсинке сохранить чексуммы отдельно

Answer 2

[Руслан Федосеев]

напрячься и попробовать положить проект в git целиком, вместе с контентом?

Comments

[iliyaisd]

20 Гб и все картинки upload? То уже слишком.

[Руслан Федосеев]

но вы в требованиях задачи фактически это и описываете ;)

Answer 3

[CityCat4]

Шифровать, ессно. Причем у себя, чтобы в хранилище уходил уже шифропоток, ключи у Вас на сервере. Что касается защите от поломки проекта - это не решается бэкапами. Ну, до известного уровня инкрементальность может вывезти - ценой потери изменений за интервал, а так - нужен VCS, это его работа - отслеживать версионность.