Бэкап-сервер с шифрованием / Encrypted backup-server

[ArcFi]

Требуется организовать безопасный бэкап на удалённый сервер с шифрованием.
Имеется ввиду, что необходимо обезопасить как каналы обмена данными, так и зашифровать данные на сервере.

Полагаю, глупо ждать готового решения, поэтому достаточно будет советов по реализации.
Буду рад услышать любые ваши мнения.

(Нажмите, чтобы показать/скрыть)

ps
Решение для одного клиента у меня имеется, но есть некоторые сомнения в его рациональности, особенно в аспекте масштабируемости. Озвучу после некоторого количества комментариев.

Для модераторов
Знаю, что немного не по теме, однако, раздела администрирования у нас нет, поэтому думаю, что здесь соберётся большее число компетентных мнений. Позже можно переместить.

[AnrDaemon]

Шифрование архива на источнике + SFTP - не ?
Вроде напрашивается решение.

[ArcFi]

ok, как вариант.
А если добавить примерно такое условие для ротации бэкапов: ежедневный -- инкрементальный, ежемесячный -- полный.

[AnrDaemon]

Делать инкремент по удалённому архиву - безумие.
Напрашивается локальная копия архивов. (Может быть нешифрованная, тогда инкремент делается быстрее.)
Задача сводится к предыдущей.

[Karl500]

В таком случае (с локальной копией архивов) подойдет любой вариант бекапа, только при передаче на удаленный сервер файл(ы) нужно шифровать. Т.е. действительно задача - только в передаче файлов на удаленный сервер с шифрованием.
(например - backuppc: инкременты, и куча удобств и прелестей. Там есть запись архивов на удаленный сервер, прикрутить к нему шифрование - и все.)

[Дмитрий Бо]

Можно пополнить бота-автоотвечателя.

Q: Как мне сделать сервер бэкапов с фичами xxx и yyy?
A: Bacula

Решение годится, если "удалённый сервер" — это твой сервер, а не дядина файлопомойка в интернете.

[ArcFi]

Спасибо за предоставленные варианты.
Буду копать в указанных направлениях...

Q: Как мне сделать сервер бэкапов с фичами xxx и yyy?
A: Bacula

Это рационально при количестве клиентов 5-10 (предположим) штук?
Я слегка копнул, и вот такие комменты не внушают оптимизма:

“Easy to use?” Have you tried it? I’ve been a Linux sysadm for 10+ years. I road tested Bacula for six months and would personally conclude that it’s horrible to set up, maintain and operate.

[Дмитрий Бо]

Это рационально при количестве клиентов 5-10 (предположим) штук?

Вполне, при условии, что резервируемые серверы/директории остаются на своих местах.
Документацию действительно нужно читать, это не Nagios, где можно написать правильный конфиг, ориентируясь на встроенные примеры и ошибки парсера. Один-полтора рабочих дня на чтение, ещё полдня на настройку сервера и установку клиентов. После этого про него можно забыть.
Есть морды, webacula, например.

[ArcFi]

Делать инкремент по удалённому архиву - безумие.
Напрашивается локальная копия архивов.

Кстати, если брать tar, то вроде как достаточно держать локально лишь файлик для опции "--listed-incremental", а локальная копия архива не нужна.
Я правильно понимаю?

[AnrDaemon]

Если в твоём понимании "инкремент" это "тупо дописать в конец", то да.
В моём понимании инкремент - это прочитать удалённый архив, сравнить с текущим положением в файловой системе, записать различия в новый файл.

[ArcFi]

Мне бэкап нужен для восстановления случайно удалённых/изменённых данных или выхода из строя железной составляющей. Воссоздавать точное положение файловой системы на момент совершения последнего бэкапа нет необходимости.

[AnrDaemon]

Эээ... э?
Под "положением" я имел в виду новые/изменённые файлы.

[antaeus]

если бакула будет сложна в освоении, то Альты разрабатывают дистрибутив для бэкапа на основе бакулы, называется, если мне не изменяет память Brain Server

[ArcFi]

(Нажмите, чтобы показать/скрыть)

Для эксперимента создаём дерево каталогов и несколько файлов:

Код: [Выделить]

$ mkdir -p 1/2/3
$ touch 1/4 1/2/5 1/2/3/6
Архивируем:

Код: [Выделить]

$ tar -g a.snap -cvf a.tar 1
tar: 1/2: Каталог новый
tar: 1/2/3: Каталог новый
1/
1/2/
1/2/3/
1/4
1/2/5
1/2/3/6
Убираем исходный архив:

Код: [Выделить]

$ rm -v a.tar
удалён «a.tar»
Модифицируем файлы, добавляем файлы и каталоги:

Код: [Выделить]

$ echo 5 >1/2/5
$ touch 1/7
$ mkdir 1/2/3/8
Архивируем, используя полученный ранее файл метаданных:

Код: [Выделить]

$ tar -g a.snap -cvf b.tar 1
tar: 1/2/3/8: Каталог новый
1/
1/2/
1/2/3/
1/2/3/8/
1/7
1/2/5
Вроде бы все модификации добавлены в инкремент.

AnrDaemon, всё же, растолкуйте, пожалуйста, зачем на клиенте хранить исходный архив, почему не достаточно файла метаданных?

[AnrDaemon]

Ну, не знал я этих тонкостей. Снимаю шляпу, как если бы она у меня была.