[DONE] wml://{security/2005/dsa-674.wml}
-BEGIN PGP SIGNED MESSAGE- Hash: SHA512 - --- english/security/2005/dsa-674.wml 2017-11-01 10:11:09.371782148 +0500 +++ russian/security/2005/dsa-674.wml 2018-02-19 12:36:55.823198894 +0500 @@ -1,47 +1,48 @@ - -cross-site scripting, directory traversal +#use wml::debian::translation-check translation="1.6" maintainer="Lev Lamberov" +межÑайÑовÑй ÑкÑипÑинг, Ð¾Ð±Ñ Ð¾Ð´ каÑалога - -Due to an incompatibility between Python 1.5 and 2.1 the last mailman - -update did not run with Python 1.5 anymore. This problem is corrected - -with this update. This advisory only updates the packages updated - -with DSA 674-2. The version in unstable is not affected since it is - -not supposed to work with Python 1.5 anymore. For completeness below - -is the original advisory text: +Ðз-за неÑовмеÑÑимоÑÑи Ð¼ÐµÐ¶Ð´Ñ Python 1.5 и 2.1 поÑледнее обновление +mailman более не ÑабоÑÐ°ÐµÑ Ñ Python 1.5. ÐÑа пÑоблема иÑпÑавлена +в данном обновлении. ÐÐ°Ð½Ð½Ð°Ñ ÑекомендаÑÐ¸Ñ Ð»Ð¸ÑÑ Ð¾Ð±Ð½Ð¾Ð²Ð»ÑÐµÑ Ð¿Ð°ÐºÐµÑÑ, обновлÑннÑе +Ñ DSA 674-2. ÐеÑÑÐ¸Ñ Ð² неÑÑабилÑном вÑпÑÑке не подвеÑжена Ñказанной пÑоблеме, +поÑколÑÐºÑ Ð¾Ð½Ð° не пÑÐµÐ´Ð¿Ð¾Ð»Ð°Ð³Ð°ÐµÑ Ð¸ÑполÑÐ·Ð¾Ð²Ð°Ð½Ð¸Ñ Ñ Python 1.5. ÐÐ»Ñ Ð¿Ð¾Ð»Ð½Ð¾ÑÑ Ð¸Ð½ÑоÑмаÑии +ниже пÑиводиÑÑÑ ÑекÑÑ Ð¸Ð·Ð½Ð°ÑалÑной ÑекомендаÑии: - -Two security related problems have been discovered in mailman, - -web-based GNU mailing list manager. The Common Vulnerabilities and - -Exposures project identifies the following problems: +Ð mailman, веб-менеждеÑе ÑпиÑков ÑаÑÑÑлки Ð¾Ñ Ð¿ÑоекÑа GNU, бÑли обнаÑÑÐ¶ÐµÐ½Ñ +две ÑвÑзаннÑе Ñ Ð±ÐµÐ·Ð¾Ð¿Ð°ÑноÑÑÑÑ Ð¿ÑоблемÑ. ÐÑÐ¾ÐµÐºÑ Common Vulnerabilities and +Exposures опÑеделÑÐµÑ ÑледÑÑÑие пÑоблемÑ: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1177;>CAN-2004-1177 - -Florian Weimer discovered a cross-site scripting vulnerability in - -mailman's automatically generated error messages. An attacker - -could craft a URL containing JavaScript (or other content - -embedded into HTML) which triggered a mailman error page that - -would include the malicious code verbatim. +ФлоÑиан ÐÐ°Ð¹Ð¼ÐµÑ Ð¾Ð±Ð½Ð°ÑÑжил межÑайÑовÑй ÑкÑипÑинг в авÑомаÑиÑеÑки ÑоздаваемÑÑ +ÑообÑениÑÑ Ð¾Ð± оÑÐ¸Ð±ÐºÐ°Ñ mailman. ÐлоÑмÑÑленник Ð¼Ð¾Ð¶ÐµÑ +ÑÑоÑмиÑоваÑÑ ÑпеÑиалÑнÑй URL, ÑодеÑжаÑий код на JavaScript (или дÑÑгое ÑодеÑжание, +вÑÑÑоенное в HTML), обÑабоÑка коÑоÑого пÑиведÑÑ Ðº оÑобÑÐ°Ð¶ÐµÐ½Ð¸Ñ ÑÑÑаниÑÑ Ñ Ð¾Ñибкой mailman, +ÑодеÑжаÑей вÑедоноÑнÑй код. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2005-0202;>CAN-2005-0202 - -Several listmasters have noticed unauthorised access to archives - -of private lists and the list configuration itself, including the - -users passwords. Administrators are advised to check the - -webserver logfiles for requests that contain "/./" and the - -path to the archives or configuration. This does only seem to - -affect installations running on web servers that do not strip - -slashes, such as Apache 1.3. +ÐеÑколÑко админиÑÑÑаÑоÑов ÑпиÑков ÑаÑÑÑлки замеÑили неавÑоÑизованнÑй доÑÑÑп к +аÑÑ Ð¸Ð²Ð°Ð¼ закÑÑÑÑÑ ÑпиÑков, а Ñакже наÑÑÑойкам ÑÐ°Ð¼Ð¸Ñ ÑпиÑков, вклÑÑÐ°Ñ +паÑоли полÑзоваÑелей. ÐдминиÑÑÑаÑоÑам ÑекомендÑеÑÑÑ Ð¿ÑовеÑиÑÑ ÑÐ°Ð¹Ð»Ñ Ð¶ÑÑнала +веб-ÑеÑвеÑа на пÑÐµÐ´Ð¼ÐµÑ Ð½Ð°Ð»Ð¸ÑÐ¸Ñ Ð·Ð°Ð¿ÑоÑов, ÑодеÑжаÑÐ¸Ñ "/./" и пÑÑÑ +к аÑÑ Ð¸Ð²Ð°Ð¼ или наÑÑÑойкам. Ðак кажеÑÑÑ, ÑÑа ÑÑзвимоÑÑÑ ÐºÐ°ÑаеÑÑÑ ÑолÑко +ÑÑÑановок, иÑполÑзÑÑÑÐ¸Ñ Ð²ÐµÐ±-ÑеÑвеÑÑ, коÑоÑÑе не ÑдалÑÑÑ ÐºÐ¾ÑÑе +ÑеÑÑÑ (напÑимеÑ, Apache 1.3). - -For the stable distribution (woody) these problems have been fixed in - -version 2.0.11-1woody11. +Ð ÑÑабилÑном вÑпÑÑке (woody) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 2.0.11-1woody11. - -For the unstable distribution (sid) these problems have been fixed in - -version 2.1.5-6. +РнеÑÑабилÑном вÑпÑÑке (sid) ÑÑи пÑÐ¾Ð±Ð»ÐµÐ¼Ñ Ð±Ñли иÑпÑÐ°Ð²Ð»ÐµÐ½Ñ Ð² +веÑÑии 2.1.5-6. - -We recommend that you upgrade your mailman package.
Re: Backup
artiom -> debian-russian@lists.debian.org @ Sun, 18 Feb 2018 21:15:25 +0300: >> >> Синхронизатор не отличает намеренное удаление или порчу от >> >> ненамеренного, и аккуратно его синхронизирует. Из синхронизатора, в >> >> отличие от бэкапа, нельзя достать файлы, которые были испорчены и успели >> >> засинхронизироваться. >> >> >> > Как отличает система резервного копирования? >> > Или тоже не отличает, но это компенсируется историей бэкапов? >> >> Именно. Предыдущий бэкап не изменяется. Либо по мере устаревания >> удаляется целиком, либо (если ему повезло оказаться, например, годичным) >> хранится "вечно". >> > А какова частота полного, декремента и инкремента? Зависит от характера изменения данных. На работе бэкап делался ежедневно - восстанавливать работу всей конторы за неделю было сложно, поскольку задач много, и за неделю тупо успеваешь забыть, что делал, не то что как. Дома делается раз в неделю. Это, если применяются инкрементные, частота инкрементных (у меня довольно давно применяются обратно-инкрементные, там бэкап бывает только одного типа). Если же говорить о декрементных и полных, то тут вопрос баланса трафика туда и времени восстановления. Я бы сказал, что полные следует делать настолько часто, насколько позволяет жаба по трафику. Деление на декремент и инкремент проводить скорее из соображений "больше десятка инкрементов за одну операцию восстановления не офигеть как удобно накатывать". В man tar приводился для прикидки вариант "полные раз в месяц, декременты раз в неделю, инкременты раз в день". Тогда при восстановлении накатывается один полный, один декремент (он по определению один) и не больше 6 инкрементов. >> >> >> Инкрементальный бэкап, который обеспечивает tar и основные >> >> >> продвинутые инкрементальные средства бэкапа, типа той же бакулы, >> дает >> >> >> первое и второй ценой невозможности третьего. Обратный >> инкрементальный, >> >> >> как у rsync, второе и третье ценой невозможности первого. Первое и >> >> >> третье можно делать, гоняя каждый раз полный бэкап. >> >> >> >> >> > Вы не вполне верно поняли требование, либо я не точно выразился. >> >> > Шифровать каналы отправки и шифровать при отправке на внешнее >> хранилище >> >> > (облако). >> >> > Шифровать отдельно при хранении в NAS, не требуется. >> >> >> >> Я понял. Я как бы намекаю, что при бэкапе на NAS и в облако имеет смысл, >> >> вообще-то, выбирать разные два из трех. Но, естественно, получатся >> >> разные технологии бэкапа :) >> >> >> > Да, конечно, так и планировалось изначально. >> >> Минус простота настройки. >> > В рамках всей системы - терпимо. Не сразу. К тому же, настроить - один раз. В изначальной постановке задачи простота настройки была одним из условий :) >> >> >> В многолетней практике (man tar, там эта практика еще со времен >> бэкапов >> >> >> на магнитные ленты, но "гнать шифрованное в облако" - это примерно >> оно >> >> >> по временнЫм характеристикам) обычно устраивают комбинированное >> решение: >> >> >> раз в некоторое время гонят полный бэкап, а между ними >> >> >> инкрементальный. tar вот даже различает дифференциальный (разница с >> >> >> предыдущим полным) и инкрементальный (разница с предыдущим, каким >> бы он >> >> >> ни был). Для разумного времени восстановления характерная частота >> >> >> полного - раз в месяц, дифференциального - в неделю, >> инкрементального - >> >> >> ежедневно. В результате получается дорого, но не невменяемо дорого. >> >> >> >> >> > Любопытно, на основе инструментов, которые тут советовали, возможно >> это >> >> > построить не сильно напрягаясь? >> >> >> >> Скажем так. Если инструмент, заявленный как инструмент для бэкапа, этого >> >> не позволяет, его нужно выкинуть и посмотреть на другой. >> >> >> > Согласен. >> > Пока не вполне понятно, что из этого выкинуть. >> > Кроме Bacula, но тут хвалят её форки. >> >> >> На глазок, при использовании собственно tar, gpg и любого способа >> >> копирования такая конструкция собирается за неделю, включая написание >> >> регламента. Но трафика будет изрядно. >> >> >> > И не вполне портируемо. >> >> Вполне портируемо. Ну, нерутованные андроиды и айфоны не осилят. И на >> винде не будут забэкаплены открытые в данный момент файлы. >> > Всё-таки, не вижу пока чем хуже urbackup: агенты уже реализованы и > отлажены, web-интерфейс есть, по фичам всё нормально и статей о нём нет > типа "О том, как я неделю вдуплял в BareOS". Я не имею цели отвратить тебя от urbackup. Которого я в глаза не видел. >> >> >> Но вообще, если уж ты собираешься делать бэкапы как следует, то надо >> >> >> понимать, что первое, что тут требуется - это дисциплина. Не такая, >> как >> >> >> при работе в архиве, но все же изрядная. >> >> > Она мне, в принципе, требуется. >> >> > В плане организации я пытаюсь сейчас всё постепенно рассортировать >> >> > (сейчас закончил
Re: Backup
artiom -> debian-russian@lists.debian.org @ Sun, 18 Feb 2018 21:23:52 +0300: >> >> >> >> - rsync поддерживает использование ssh как транспорт, >> существуют так же >> >> >> >> надстройки разные >> >> >> >> >> >> >> > Да, rsync хорошая штука. Я пользуюсь. Но дело в том, что над ним >> >> >> > придётся всё доделывать самостоятельно, а в той же Bacula >> большинство >> >> >> > функций реализовано и отлажено. >> >> >> >> >> >> >> Ничего не знаю по поводу "репликации в облко с шифрованием". >> Это всё так >> >> >> >> абстрактно... >> >> >> >> >> >> >> > 1. Шифрование бэкапов. >> >> >> > 2. Репликация в выбранное облако (например, dropbox). >> >> >> >> >> >> > Т.к. dropbox и подобные - одна сплошная дыра, требуется надёжное >> шифрование. >> >> >> > Т.к. раньше я ими не пользовался, ничего конкретного про >> >> >> > репликацию/наличие API спросить не могу. >> >> >> >> >> >> "Тут ведь как..." "Отправлять зашифрованное", "минимально гонять по >> >> >> сети", и "восстанавливать за разумное время" - выберите любые два из >> >> >> трех. >> >> > Первые два, но время именно "разумное", я же не говорю "быстро". >> >> >> >> Я тоже говорю "разумное". Выберите любые два из трех. >> >> >> > В процессе изучения вопроса я обнаружил, что есть такая технология, как >> > дедупликация на клиенте. >> > И вообще, как ни странно, в случае с файлопомойками, дедап позволяет >> > экономить до 98% дискового пространства. >> >> Это, гм, новость. По моим представлениям, дедупликация на файлопомойке >> (где вообще-то каждый файл в среднем чуть более чем в одном экземпляре) >> дает от силы процентов 10, если она пофайловая, и процентов 20, если >> поблочная. А более вероятно - 3 и 5% соответственно. 98% - это надо >> чтобы каждый файл (или блок) хранился в среднем в 50 экземплярах. Я могу >> себе такое представить на хранилище, откуда работают сотни виртуальных >> машин, но на файлопомойке? >> > Видимо, там большая файлопомойка с большим числом пользователей. > Пользователи, как правило, не создают контент. > Потому, файлы (и, тем более, блоки) часто дублируются. На файлопомойках пользователи как раз обычно создают контент. Если не сам контент целиком, то выборка-то у всех разная. И для 50-кратного дублирования надо устраивать очень специфический набор пользователей. Я бы, пожалуй, взялся только роботами такое обеспечить, причем специально криво написанными. >> Вот дедупликация на ее бэкапе - да, в разы. Но опять же, при разумной >> политике хранения бэкапов ну, в 10 раз (если история бэкапов - штук >> 15). Но не в 50. >> > Ещё неплохо, чтобы дедупликация делалась на клиенте. Тут, кстати, палка как минимум о двух концах. Я, например, дома предпочитаю, чтобы отобранные фотографии из поездок хранились отдельно от совпадающих с ними файлов из подборки оригиналов даже в бэкапе. Из соображений "в случае сбоя диска будет второй экземпляр". Если сделать полную дедупликацию, сбой диска убьет единственный.
Re: Backup
artiom -> debian-russian@lists.debian.org @ Sun, 18 Feb 2018 21:36:37 +0300: >> >> >> >>> На Debian-based машинах хочу резервировать конфигурацию в /etc >> и >> >> >> >>> выбранные пользовательские данные. >> >> >> >> >> >> >> >> Меня в свое время убедили что не надо экономить те считанные >> гигабайты, >> >> >> >> которые занимает /usr и бэкапить и ее тоже. Чтобы потом после >> >> >> >> восстановления не разбираться если версии конфигурации в /etc >> остались >> >> >> >> от чуточку более старых пакетов, чем поставились из >> дистрибутива при >> >> >> >> восстановлении системы.Хм... У меня 50 Гб в / (сейчас там же >> /usr). >> >> >> > Как минимум, две машины (плюс, ещё /opt). >> >> >> > В /usr я руками ничего не правлю обычно (за крайне редким >> исключением >> >> >> > для Oracle Java на рабочей машине). >> >> >> > /var ещё надо бэкапить. Но /usr для чего? >> >> >> >> >> >> Сказали же: если его нет в бэкапе, то восстановиться, раскатав >> бэкап на >> >> >> чистый диск не получится. Придется ставить систему и накатывать >> >> >> конфиги. И тут упс... система оказалась поновее, конфиги частично >> >> >> несовместимы... >> >> >> >> >> > Это не столь серьёзная проблема в моём случае: как правило, система >> >> > более ли менее новая. >> >> >> >> Ключевые слова - "более или менее" :) >> > Ok, система достаточно новая. Максимум - месяц без обновлений (это >> > означает, что она не включалась, потому вероятность выхода из строя >> > низка), и как правило, в таком случае я могу себе позволить затратить >> > время на её восстановление. Больше - крайне редкие случаи. >> >> Бэкап, с которого восстанавливаемся, может оказаться не офигительно >> свежим. Потом, легко забыть забэкапить что-нибудь важное из >> /usr/local... >> > Если что-то установленное туда я долго не использую, значит оно мне не > так и нужно. У меня там бывают (в /usr/local/sbin) скрипты, которые использую не я, а, например, cron... >> >> >> >> В общем, анализировать бэкапные решения надо начинать не с "где >> >> >> >> хранить" и "какой транспорт использовать" а с "как будет >> выглядеть >> >> >> >> процедура восстановления". Причем в двух вариантах >> >> >> >> >> >> >> > Да, вообще явного анализа восстановления я не провёл. >> >> >> > Неявно, подразумеваю, что буду переустанавливать систему и >> накатывать >> >> >> > данные, а не образ. >> >> >> > Т.е., мне не требуется "полный бэкап", как это делают с большим >> парком >> >> >> > машин. >> >> >> >> >> >> Практика восстановления показывает, что если бэкапятся настройки >> >> >> системы, то лучше бэкапить всю систему. Восстановление >> работоспособного >> >> >> состояния получится на порядок быстрее. Пользовательские данные >> можно (и >> >> >> часто полезно) бэкапить отдельно. >> >> >> >> >> > Хорошо, но зачем мне 50+ Гб того, что я и так получу? >> >> > Мало того, не всегда мне нужно будет восстанавливать ту же самую >> >> > систему: на том же железе и в точности с той же конфигурацией, плюс к >> >> > этому, у меня ещё не было ни одного случая, чтобы полностью загнулся >> Debian. >> >> > Падение скорости восстановления здесь для меня терпимо. >> >> >> >> Системы обычно падают в самый неподходящий момент :) И даже если ты >> >> давно хотел ее обновить, выгоднее сначала тупо, но быстро восстановить >> >> прежнюю работоспособную конфигурацию, а потом уже обновлять. >> >> >> > Ok. С этим я согласен. Но остаётся несколько проблем (наверняка уже >> > кем-то решённых). >> > Бэкап-систему я внедряю не с нуля, а в действующую "инфраструктуру" >> > (пусть и маленькую). >> >> > Отсюда: >> >> > - Если какая-то дрянь сейчас поселилась в системе (а система с 2011-го >> > года не переустанавливалась, редко выключалась, кроме последних лет, и >> > долго подключена к Интернет), есть риск, что она пойдёт в бэкап, будет >> > заботливо сохранена, и воспроизведётся при каждом полном восстановлении. >> >> Не "есть риск", а "есть гарантия". Однако, в такой ситуации взять только >> конфиги из полного бэкапа можно. А вот взять полную систему, чтобы >> быстро восстановиться, если есть бэкап только конфигов, не получится. >> > В случае же переустановки, из бэкапа ничего не прилетит. Очень не факт. Зараза с легкостью может окопаться и в /etc (в случае винды - системном реестре). >> Ну и думай, что дороже: дополнительное дисковое пространство для >> хранения бэкапа системы, или твои время и нервы на более сложную >> процедуру восстановления. >> > С одной стороны, жалеть на 10 Тб с избыточностью и с дальнейшим ростом > пространства хранилища, какие-то 50 Гб на машину странно. > С другой, я не вижу, чтобы реально усложнилась процедура восстановления: > накатил свежую ОС, накатил конфигурацию и пакеты, всё. Твоих телодвижений больше. "Накатил свежую ОС" - это существенно больше
Re: Backup
>> Посмотрел про restic: выглядит интересно. Но почему-то я до сих пор о >> ней не слышал. С ней есть какие-то проблемы? > > Я сам его нашел только вчера, но отзывы о нем хорошие, вот например > известный сервис Backblaze его рекомендует [2]. > Любопытно, что рекомендуют, статистику по дискам их я использовал: сервис серьёзный. >> Почитал про Minio. Имеет ли смысл? Мне кажется, что в моём случае >> NextCloud будет лучше? > > Пробуйте всё и выбирайте лучшее, для этого и нужны свободные программы. > > [1]: https://apps.nextcloud.com/apps/audioplayer > [2]: > https://www.backblaze.com/blog/backing-linux-backblaze-b2-duplicity-restic/ > Хочется меньше пробовать и сделать, наконец, этот долбаный NAS, чтобы перейти к другим проектам.
Re: Backup
> >> >> >>> На Debian-based машинах хочу резервировать конфигурацию в /etc и > >> >> >>> выбранные пользовательские данные. > >> >> >> > >> >> >> Меня в свое время убедили что не надо экономить те считанные > гигабайты, > >> >> >> которые занимает /usr и бэкапить и ее тоже. Чтобы потом после > >> >> >> восстановления не разбираться если версии конфигурации в /etc > остались > >> >> >> от чуточку более старых пакетов, чем поставились из дистрибутива > при > >> >> >> восстановлении системы.Хм... У меня 50 Гб в / (сейчас там же > /usr). > >> >> > Как минимум, две машины (плюс, ещё /opt). > >> >> > В /usr я руками ничего не правлю обычно (за крайне редким > исключением > >> >> > для Oracle Java на рабочей машине). > >> >> > /var ещё надо бэкапить. Но /usr для чего? > >> >> > >> >> Сказали же: если его нет в бэкапе, то восстановиться, раскатав бэкап > на > >> >> чистый диск не получится. Придется ставить систему и накатывать > >> >> конфиги. И тут упс... система оказалась поновее, конфиги частично > >> >> несовместимы... > >> >> > >> > Это не столь серьёзная проблема в моём случае: как правило, система > >> > более ли менее новая. > >> > >> Ключевые слова - "более или менее" :) > > Ok, система достаточно новая. Максимум - месяц без обновлений (это > > означает, что она не включалась, потому вероятность выхода из строя > > низка), и как правило, в таком случае я могу себе позволить затратить > > время на её восстановление. Больше - крайне редкие случаи. > > Бэкап, с которого восстанавливаемся, может оказаться не офигительно > свежим. Потом, легко забыть забэкапить что-нибудь важное из > /usr/local... > Если что-то установленное туда я долго не использую, значит оно мне не так и нужно. > >> >> >> В общем, анализировать бэкапные решения надо начинать не с "где > >> >> >> хранить" и "какой транспорт использовать" а с "как будет выглядеть > >> >> >> процедура восстановления". Причем в двух вариантах > >> >> >> > >> >> > Да, вообще явного анализа восстановления я не провёл. > >> >> > Неявно, подразумеваю, что буду переустанавливать систему и > накатывать > >> >> > данные, а не образ. > >> >> > Т.е., мне не требуется "полный бэкап", как это делают с большим > парком > >> >> > машин. > >> >> > >> >> Практика восстановления показывает, что если бэкапятся настройки > >> >> системы, то лучше бэкапить всю систему. Восстановление > работоспособного > >> >> состояния получится на порядок быстрее. Пользовательские данные можно > (и > >> >> часто полезно) бэкапить отдельно. > >> >> > >> > Хорошо, но зачем мне 50+ Гб того, что я и так получу? > >> > Мало того, не всегда мне нужно будет восстанавливать ту же самую > >> > систему: на том же железе и в точности с той же конфигурацией, плюс к > >> > этому, у меня ещё не было ни одного случая, чтобы полностью загнулся > Debian. > >> > Падение скорости восстановления здесь для меня терпимо. > >> > >> Системы обычно падают в самый неподходящий момент :) И даже если ты > >> давно хотел ее обновить, выгоднее сначала тупо, но быстро восстановить > >> прежнюю работоспособную конфигурацию, а потом уже обновлять. > >> > > Ok. С этим я согласен. Но остаётся несколько проблем (наверняка уже > > кем-то решённых). > > Бэкап-систему я внедряю не с нуля, а в действующую "инфраструктуру" > > (пусть и маленькую). > > > Отсюда: > > > - Если какая-то дрянь сейчас поселилась в системе (а система с 2011-го > > года не переустанавливалась, редко выключалась, кроме последних лет, и > > долго подключена к Интернет), есть риск, что она пойдёт в бэкап, будет > > заботливо сохранена, и воспроизведётся при каждом полном восстановлении. > > Не "есть риск", а "есть гарантия". Однако, в такой ситуации взять только > конфиги из полного бэкапа можно. А вот взять полную систему, чтобы > быстро восстановиться, если есть бэкап только конфигов, не получится. > В случае же переустановки, из бэкапа ничего не прилетит. Возможно, конечно, бороться "антивирусными" мерами... > Ну и думай, что дороже: дополнительное дисковое пространство для > хранения бэкапа системы, или твои время и нервы на более сложную > процедуру восстановления. > С одной стороны, жалеть на 10 Тб с избыточностью и с дальнейшим ростом пространства хранилища, какие-то 50 Гб на машину странно. С другой, я не вижу, чтобы реально усложнилась процедура восстановления: накатил свежую ОС, накатил конфигурацию и пакеты, всё. Кроме того, > > - В этой старой системе я хочу многое переделать, например дисковую > > организацию, что потребует переустановки при сохранении большинства > > конфигов. > > Переустановки-то зачем? Переразметил диск иначе, накатил полный бэкап, > поправил один-единственный /etc/fstab, и поехали. Ну, может быть, еще > перегенерировал initrd из чрута до первой перезагрузки, если в разметке > добавилось что-то новое, драйвера чего в старом initrd отсутствовали. > Там много что надо
Re: Backup
17.02.2018 19:19, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Sat, 17 Feb 2018 11:56:37 +0300: > > >> >> >> - rsync поддерживает использование ssh как транспорт, существуют > так же > >> >> >> надстройки разные > >> >> >> > >> >> > Да, rsync хорошая штука. Я пользуюсь. Но дело в том, что над ним > >> >> > придётся всё доделывать самостоятельно, а в той же Bacula > большинство > >> >> > функций реализовано и отлажено. > >> >> > >> >> >> Ничего не знаю по поводу "репликации в облко с шифрованием". Это > всё так > >> >> >> абстрактно... > >> >> >> > >> >> > 1. Шифрование бэкапов. > >> >> > 2. Репликация в выбранное облако (например, dropbox). > >> >> > >> >> > Т.к. dropbox и подобные - одна сплошная дыра, требуется надёжное > шифрование. > >> >> > Т.к. раньше я ими не пользовался, ничего конкретного про > >> >> > репликацию/наличие API спросить не могу. > >> >> > >> >> "Тут ведь как..." "Отправлять зашифрованное", "минимально гонять по > >> >> сети", и "восстанавливать за разумное время" - выберите любые два из > >> >> трех. > >> > Первые два, но время именно "разумное", я же не говорю "быстро". > >> > >> Я тоже говорю "разумное". Выберите любые два из трех. > >> > > В процессе изучения вопроса я обнаружил, что есть такая технология, как > > дедупликация на клиенте. > > И вообще, как ни странно, в случае с файлопомойками, дедап позволяет > > экономить до 98% дискового пространства. > > Это, гм, новость. По моим представлениям, дедупликация на файлопомойке > (где вообще-то каждый файл в среднем чуть более чем в одном экземпляре) > дает от силы процентов 10, если она пофайловая, и процентов 20, если > поблочная. А более вероятно - 3 и 5% соответственно. 98% - это надо > чтобы каждый файл (или блок) хранился в среднем в 50 экземплярах. Я могу > себе такое представить на хранилище, откуда работают сотни виртуальных > машин, но на файлопомойке? > Видимо, там большая файлопомойка с большим числом пользователей. Пользователи, как правило, не создают контент. Потому, файлы (и, тем более, блоки) часто дублируются. > Вот дедупликация на ее бэкапе - да, в разы. Но опять же, при разумной > политике хранения бэкапов ну, в 10 раз (если история бэкапов - штук > 15). Но не в 50. > Ещё неплохо, чтобы дедупликация делалась на клиенте.
Re: Backup
> >> >> >> - NextCloud > >> >> > Хотелось бы услышать отзывы, стоит ли его использовать, что оно > даёт, > >> >> > почему называется "облаком", легко ли его интегрировать с той же > Bacula > >> >> > (агентов, я так понимаю, у NextCloud нет), а также имеет ли смысл > >> >> > использовать в составе NAS. > >> >> > >> >> >> - SyncThing > >> >> > Сам уже нашёл. > >> >> > Хотелось бы о нём услышать отзывы использующих. > >> >> > По мне: весьма интересная штука. > >> >> > >> >> Два последних: не путаем бэкап с синхронизацией. Для бэкапа не > годится. > >> >> > >> > По каким причинам? > >> > Тут бы неплохо прояснить разницу. > >> > Если из бэкапа требуется доставать отдельные файлы, то границу мне > >> > сложно провести. > >> > >> Синхронизатор не отличает намеренное удаление или порчу от > >> ненамеренного, и аккуратно его синхронизирует. Из синхронизатора, в > >> отличие от бэкапа, нельзя достать файлы, которые были испорчены и успели > >> засинхронизироваться. > >> > > Как отличает система резервного копирования? > > Или тоже не отличает, но это компенсируется историей бэкапов? > > Именно. Предыдущий бэкап не изменяется. Либо по мере устаревания > удаляется целиком, либо (если ему повезло оказаться, например, годичным) > хранится "вечно". > А какова частота полного, декремента и инкремента? > >> >> Инкрементальный бэкап, который обеспечивает tar и основные > >> >> продвинутые инкрементальные средства бэкапа, типа той же бакулы, дает > >> >> первое и второй ценой невозможности третьего. Обратный > инкрементальный, > >> >> как у rsync, второе и третье ценой невозможности первого. Первое и > >> >> третье можно делать, гоняя каждый раз полный бэкап. > >> >> > >> > Вы не вполне верно поняли требование, либо я не точно выразился. > >> > Шифровать каналы отправки и шифровать при отправке на внешнее хранилище > >> > (облако). > >> > Шифровать отдельно при хранении в NAS, не требуется. > >> > >> Я понял. Я как бы намекаю, что при бэкапе на NAS и в облако имеет смысл, > >> вообще-то, выбирать разные два из трех. Но, естественно, получатся > >> разные технологии бэкапа :) > >> > > Да, конечно, так и планировалось изначально. > > Минус простота настройки. > В рамках всей системы - терпимо. Не сразу. К тому же, настроить - один раз. > >> >> В многолетней практике (man tar, там эта практика еще со времен > бэкапов > >> >> на магнитные ленты, но "гнать шифрованное в облако" - это примерно оно > >> >> по временнЫм характеристикам) обычно устраивают комбинированное > решение: > >> >> раз в некоторое время гонят полный бэкап, а между ними > >> >> инкрементальный. tar вот даже различает дифференциальный (разница с > >> >> предыдущим полным) и инкрементальный (разница с предыдущим, каким бы > он > >> >> ни был). Для разумного времени восстановления характерная частота > >> >> полного - раз в месяц, дифференциального - в неделю, инкрементального > - > >> >> ежедневно. В результате получается дорого, но не невменяемо дорого. > >> >> > >> > Любопытно, на основе инструментов, которые тут советовали, возможно это > >> > построить не сильно напрягаясь? > >> > >> Скажем так. Если инструмент, заявленный как инструмент для бэкапа, этого > >> не позволяет, его нужно выкинуть и посмотреть на другой. > >> > > Согласен. > > Пока не вполне понятно, что из этого выкинуть. > > Кроме Bacula, но тут хвалят её форки. > > >> На глазок, при использовании собственно tar, gpg и любого способа > >> копирования такая конструкция собирается за неделю, включая написание > >> регламента. Но трафика будет изрядно. > >> > > И не вполне портируемо. > > Вполне портируемо. Ну, нерутованные андроиды и айфоны не осилят. И на > винде не будут забэкаплены открытые в данный момент файлы. > Всё-таки, не вижу пока чем хуже urbackup: агенты уже реализованы и отлажены, web-интерфейс есть, по фичам всё нормально и статей о нём нет типа "О том, как я неделю вдуплял в BareOS". > >> >> Но вообще, если уж ты собираешься делать бэкапы как следует, то надо > >> >> понимать, что первое, что тут требуется - это дисциплина. Не такая, > как > >> >> при работе в архиве, но все же изрядная. > >> > Она мне, в принципе, требуется. > >> > В плане организации я пытаюсь сейчас всё постепенно рассортировать > >> > (сейчас закончил только с музыкой и видео, проекты в нормальном > >> > состоянии, книги и документы в процессе сортировки). > >> > Поэтому, что бэкапить, я могу сказать. > >> > >> Там не просто "что бэкапить". Там еще "как бэкапить" и "как и когда > >> проверять восстанавливаемость из бэкапа". Два письменных документа, ага. > >> > > Ну ok, политика и регламент бэкапа? > > Если делать на серьёзном уровне, конечно полезно. > > В принципе, это в любом случае полезно, так что пока ещё NAS не > > завершён, в рамках этого проекта возможно и системой резервного > > копирования более серьёзно заняться. > > Тут ведь
Re: Backup
В сообщении от [Сб 2018-02-17 23:29 +0300] artiomпишет: > А вот про плеер возможно подробнее? > Я mpd хочу впилить. Обычный плеер [1] только в браузере. > Посмотрел про restic: выглядит интересно. Но почему-то я до сих пор о > ней не слышал. С ней есть какие-то проблемы? Я сам его нашел только вчера, но отзывы о нем хорошие, вот например известный сервис Backblaze его рекомендует [2]. > Почитал про Minio. Имеет ли смысл? Мне кажется, что в моём случае > NextCloud будет лучше? Пробуйте всё и выбирайте лучшее, для этого и нужны свободные программы. [1]: https://apps.nextcloud.com/apps/audioplayer [2]: https://www.backblaze.com/blog/backing-linux-backblaze-b2-duplicity-restic/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature