Restic Offsite-Backup: Verschluesselt zu QNAP

sgit.space
1 min read
Restic Offsite-Backup: Verschluesselt zu QNAP
```html

Restic Offsite-Backup: Warum verschlüsselt zu QNAP?

Wir setzen auf Restic für unsere Offsite-Backups, weil es verschlüsselte, deduplizierte und inkrementelle Sicherungen ermöglicht. Ein QNAP-NAS dient dabei als Ziel, da es über SMB oder SFTP angebunden werden kann. Die Verschlüsselung ist entscheidend, weil das Backup über das Internet übertragen wird – selbst bei einer Kompromittierung des NAS bleiben die Daten geschützt.

Vorbereitung: QNAP als Backup-Ziel einrichten

Auf dem QNAP-NAS legen wir einen dedizierten Benutzer mit eingeschränkten Rechten an, der nur Lese-/Schreibzugriff auf das Backup-Verzeichnis hat. Wir nutzen SFTP statt SMB, da es sicherer und besser für WAN-Verbindungen geeignet ist. Der SSH-Zugang wird mit Public-Key-Authentifizierung abgesichert, Passwörter sind deaktiviert.

Restic-Installation und Konfiguration

Restic wird auf unserem Backup-Server als Binärdatei installiert. Die Konfiguration erfolgt über Umgebungsvariablen und ein Shell-Skript. Der Befehl restic init legt das verschlüsselte Repository auf dem QNAP an. Das Passwort wird im Passwortmanager von sgit.space gespeichert, nicht auf der Festplatte.

Backup-Job automatisieren

Ein Cron-Job führt täglich restic backup aus und sichert die definierten Verzeichnisse. Wichtig: Der Job prüft vorher die Netzwerkverbindung und bricht bei Problemen ab, um halbfertige Backups zu vermeiden. Erfolg und Fehler werden per E-Mail an unser Monitoring-System gemeldet.

Policies für Retention und Prüfung

Wir nutzen restic forget mit einer 30-7-4-Strategie: 30 tägliche, 7 wöchentliche und 4 monatliche Backups bleiben erhalten. Zusätzlich wird wöchentlich restic check ausgeführt, um die Datenintegrität zu prüfen. Bei Fehlern alarmiert das System sofort.

Wiederherstellung testen

Ein Backup ist nur so gut wie seine Wiederherstellung. Quartalsweise testen wir die Rücksicherung ausgewählter Dateien in eine Sandbox. Dabei prüfen wir nicht nur die Daten, sondern auch die Geschwindigkeit – ein Offsite-Backup nützt wenig, wenn die Rücksicherung Tage dauert.

Sicherheitshinweise für die Praxis

Das QNAP-NAS steht in einem separaten VLAN ohne Zugriff auf andere Systeme. Die Firewall regelt, dass nur unser Backup-Server über SSH darauf zugreifen darf. Alle Logs werden zentral erfasst und überwacht. Wichtig: Die Restic-Keys liegen niemals auf dem QNAP, nur auf dem sendenden System.

```