Estou usando duplicidade em quase todos os hosts que mantenho para criar backups em um local remoto (chamando-o de "host de backup").
A frequência e o momento de fazer backups completos ou incrementais depende do host e de seu caso de uso.
Não estou apenas tentando me proteger de falhas típicas (erro humano, hardware/software, etc.), mas também me recuperar de um ataque potencial.
Nos meus casos, estou usando o back-end SSH/SFTP para executar esses backups de duplicidade. Como a duplicidade precisa de acesso de leitura/gravação ao host de backup, alguém que obtém o controle dos hosts a serem copiados também pode se conectar ao host de backup e excluir/mexer nos respectivos backups.
Apesar disso - de acordo com meu entendimento - os hosts dos quais será feito backup também /precisam/excluir arquivos no host de backup: Para não ficar sem espaço, meus hosts dos quais será feito backup frequentemente chame a duplicidade com ações remove-all-but-n-full- e remove-all-inc-of-but-n-full- para excluir backups antigos.
Essas limpezas, até onde me disseram, não podem acontecer no próprio host de backup, devido aos backups - incl. os metadados da duplicidade sobre quais arquivos pertencem a qual conjunto - sendo criptografados, enquanto a respectiva chave privada (GPG) não está presente no host de backup.
Portanto, para fazer essas limpezas no host de backup, eu teria que fazer isso com base nos carimbos de data/hora do arquivo, o que pode resultar em conjuntos de backup parciais/corrompidos.
Atualmente, para me "proteger" de tal ataque, tenho um segundo host de backup conectando-se regularmente ao host de backup primário, que sincroniza todos os dados de backup do host de backup primário para o secundário.
Mas aqui novamente estou enfrentando problemas já mencionados acima:
- Estou apenas copiando arquivos do host de backup primário para o segundo, sem qualquer compreensão de sua estrutura (como em: copiarei arquivos ainda não concluídos, conjuntos parciais, etc.).
- Para não ficar sem espaço, terei que excluir novamente os backups obsoletos apenas com base nos carimbos de data e hora dos arquivos, o que pode inutilizar os conjuntos de backup.
Qual é a maneira mais elegante e limpa de backup de hosts para backup, via duplicidade, automaticamente, garantindo ao mesmo tempo que um invasor que obtém acesso total aos hosts para backup não pode mexer com backups já criados ?
Muito obrigado!