Řešení 1:
Pokud provádíte naivní zálohu (jedinou kopii, přepsání všech dat), pak neexistuje způsob, jak dosáhnout toho, co chcete - útočník může vždy „zazálohovat“ hromadu prázdných souborů (nebo prázdnou sadu souborů), což bude mít za následek všechna vaše data jdou sbohem. Předpokládám tedy, že provádíte správné archivní zálohy a své zálohy sledujete dostatečně dobře na to, aby všechny pokusy o vymýcení zálohy odesláním prázdné zálohovací sady byly detekovány dříve, než dojde k trvalému poškození.
Pokud váš rsync-over-(pravděpodobně)-SSH používá vynucený příkaz ke spuštění rsync na cílovém místě, pak jste před smazáním tak chráněni, jak jen můžete být. Protože chcete spustit pouze konkrétní rsync příkazu, můžete napevno zakódovat všechny argumenty a pak jediné, co může udělat, je zapsat nová data. Archivace je dostatečně jednoduchá, protože se pokaždé zálohuje do nového stromu a nezměněné soubory se přidruží k předchozí záloze pomocí pevných odkazů, což šetří místo a čas přenosu.
Druhou možností je použít vyžádané zálohy, kde zálohovací server spouští a spravuje rsync operace -- to znamená, že klientský počítač nemá ani možnost spustit omezený příkaz rsync, což znamená, že útočník nemá pravomoc mazat soubory.
To vše předpokládá, že váš záložní server je zabezpečený. Pokud k němu útočník může získat přístup jiným způsobem, jste zbaveni kosti bez ohledu na to, co děláte.
Řešení 2:
Nejjednodušší by asi bylo jít se zálohami opačně, tzn. stáhnout ze záložního serveru. Takto spouštím zálohy pomocí rdiff-backup.
Řešení 3:
Toto je jedna z funkcí, které se mi na zálohovací službě Tarsnap líbí. Umožňuje mi vytvářet podklíče s možností čtení, zápisu a/nebo mazání.
Na svých serverech obecně uchovávám podklíče s možností čtení a zápisu. V době, kdy potřebuji/chci odstraňovat staré zálohy, dělám to pomocí hlavních klíčů z místního stolního počítače.
Všimněte si, že Tarsnap je sám o sobě službou úložiště. Software Tarsnap nemůžete používat k vytváření záloh proti vašim vlastním úložným serverům.
Řešení 4:
Pokuste se použít vrstvu souborového systému pouze pro zápis, která bude maskovat váš skutečný cíl.
Zde jsem našel příklad pomocí FUSE.
Můžete také použít šifrovaný souborový systém, do kterého může kdokoli zapisovat, ale potřebuje změnit váš certifikát klíče (zdá se, že je to nejbezpečnější možnost, i když to pravděpodobně vyžaduje více plánování během implementace). Pokud půjdete tímto způsobem, podívejte se na kontrolu WOCFS (Pouze zápis enCrypted FileSystem) a TrueCrypt
Takže zatímco první řešení „zamaskuje“ váš souborový systém, který je ve skutečnosti uložen jinde v počítači a lze jej upravit pro uživatele systému s oprávněními, ve druhém řešení jej lze změnit pouze pomocí správných klíčů.
Řešení 5:
ftp:například vsftp má možnost zakázat mazání, takže můžete pouze nahrávat. Poté na druhé straně vytvoříte skript, který odstraní zálohy starší než x dní. Tuto možnost používám, na hlavním serveru jsou zálohy jednoduché zálohy pomocí tar+gz, nahrají se na nas server přes sftp a poté nas server odstraní zálohy starší než 7 dní.
rsync:rsync server má možnost zakázat mazání, takže to může fungovat i vám, ale musíte použít rsync protocol/server.refuse options =delete
Pak byste ale museli jednou za čas soubory 'smazat' ručně smazat.