Festplatten werden immer zuverlässiger. Dennoch sollte man nicht darauf bauen, dass sie nie ausfallen. Das Damoklesschwert der drohenden Datenkatastrophe kann man durch Sicherung der Daten beseitigen.

In Firmen haben Anwender häufig die Tendenz, technische Probleme auf die Administratoren abzuschieben, während Heimanwender gern selber schrauben. Plattenplatz wird eher früher als später voll. In der Firma wird hier der Administrator irgendwann Vorschläge zum Aufräumen machen und zu sparsamerem Umgang mit dem Platz aufrufen, was aber typischerweise verhallt. Schlaue Anwender tragen durch Aufräumen, Komprimieren und Packen zur Übersicht bei.

Langzeitarchivierung

Vom Backup zu unterscheiden ist die Offline-Lagerung von Daten. Während beim Backup meist davon ausgegangen wird, dass man nur Daten aus nicht allzu weiter Vergangenheit, z. B. drei Monate, zur Wiederherstellung braucht, gilt dies für Archivierungen nicht. Kandidaten für Archivierungen sind Daten, die aktuell nicht mehr benötigt werden, aber später wieder wichtig werden (könnten).

Hierarchical Storage Management

Eine sehr reizvolle Technik ist HSM, etwa von Veritas [8] oder SAM-FS von LSC. Hierbei werden Daten in einem bestimmten Zeitraum von der Platte auf langsamere und preiswertere Medien kopiert. Dieser Schritt wird als “Archiving” bezeichnet. Wird auf die Daten eine gewisse Zeitlang nicht zugegriffen, werden sie vom Online-Medium entfernt (“released”). Der Filesystem-Eintrag bleibt aber erhalten, nur die Datenblöcke verschwinden. Spätere Zugriffe auf Daten, die sich nicht mehr auf der Platte befinden, führen zum “Staging”. Das bedeutet, dass vollautomatisch die Daten wieder von den langsameren Medien abgeholt und verfügbar gemacht werden, was natürlich etwas dauern kann. HSM kann nicht ohne Unterstützung durch das Filesystem realisiert werden, da die beschriebenen Vorgänge für die User-Prozesse bzw. deren Systemcalls unsichtbar sein sollen.

HSM in der “einfachsten” Form ersetzt nicht das Backup. Sind die Daten vom Online-Medium verschwunden, sind sie nur noch einmal vorhanden. Geht dann beispielsweise das Band, auf dem sie sich befinden, kaputt, müssen sie von woanders wiederhergestellt werden. HSM-Systeme bieten daher die Möglichkeit, gleich mehrere Kopien anzufertigen.

Sicherungsumfang und -zeitpunkt

Die Ergebnisse der täglichen Arbeit müssen ins Backup. Aber sicher sollen die Sicherungskapazitäten nicht unbedingt mit Dingen voll gestopft werden, welche ohnehin auf CD oder im Internet verfügbar sind. Hierzu gehört etwa das Betriebssystem. Ein Rechner wird aber normalerweise nicht mit unveränderten Systeminstallationen ausgestattet sein. Anpassungen an die jeweiligen Erfordernisse sind immer nötig.

Die Software sollte neben der Sicherung aller Daten auch den Modus “inkrementell” beherrschen. Das bedeutet, dass nur die Dateien ins Backup geschrieben werden, welche sich seit dem letzten Backup geändert haben. Oft sind zusätzlich Backups vom Typ Level-N möglich mit N = 1, 2, …

Bei einem Level-N Backup werden alle Daten gesichert, die sich seit dem letzten Backup mit demselben Level verändert haben. Dabei kann man sich vorstellen, dass ein Gesamt-Backup den Level 0 und ein inkrementelles den Level Unendlich hat. Bei einem Level-3-Backup wird alles Neue seit dem letzten Level-3-, Level-4-, oder einem inkrementellen Backup gesichert. Hier nur kurz der Hinweis, dass die Software afbackup[1] des Autors anders herum wertet, damit man offen zu höheren Leveln ist.

Typisch ist eine Gesamtsicherung an jedem Wochenende mit zusätzlichen inkrementellen Sicherungen jede Nacht. Eine andere Möglichkeit sind Gesamtsicherungen an jedem ersten Wochenende im Monat und ein Level-1-Backup an den anderen Wochenenden mit inkrementellen Sicherungen jede Nacht. Je länger eine Gesamtsicherung zurückliegt, desto länger dauert womöglich die Wiederherstellung.

Bänder gehen mitunter kaputt. Daher gehen Firmenadministratoren beispielsweise so vor, dass sie bei jedem Gesamt-Backup die Verwendung eines neuen Bandes konfigurieren. Auf diese Weise hat man immer eine gesamte Sicherung verfügbar, die maximal ein Intervall zwischen zwei Vollsicherungen zurückliegt, auch wenn ein einzelnes Band ausfällt. Mehrfache Sicherungen derselben Daten auf verschiedene Medien können neben der höheren Redundanz sehr angenehm für die User sein. Konfiguriert man nur eine Gesamtsicherung auf Platten bei längere Zeit aufgehobenen Sicherungen auf Band, hat man ein sehr schnelles Restore der aktuellen Dateien von den Festplatten bei gleichzeitiger Sicherheit über längere Zeiträume.

Das Sicherungsziel

Bei den heutigen Plattenpreisen ist es eine Überlegung wert, auf Festplatten zu sichern. Dabei sind die erzielbaren Durchsätze selbst bei langsamen Platten höher als bei den gängigen Bandtechnologien. Dennoch besteht ein deutlicher Preisunterschied zugunsten von Bändern, was sich allerdings eher für Firmenanwender lohnt, denn während die Bänder preiswert sind, sind es die notwendigen Streamer-Laufwerke nicht immer.

Bandtechnologien

Vor dem Kauf eines Bandlaufwerks oder eines Wechslers steht die Qual der Wahl. Eine Vielzahl von Technologien buhlt um die Gunst der Käufer. Im Nachfolgenden werden die wichtigsten von ihnen vorgestellt. Die Entscheidung für eine der beschriebenen Technologien wird primär von der zu sichernden Datenmenge abhängen, dann vom Preis der Laufwerke und der Bänder.

Quarter-Inch-Cartridges

QIC spielen in der Systemverwaltung kaum noch eine Rolle, aber im privaten Einsatz sind sie noch vielfältig zu finden, weil diese Laufwerke besonders preiswert sind und für Heimanwender akzeptable Kapazitäten bieten. QIC arbeitet mit linearer Aufzeichnung in Serpentinen, das Band wird in hoher Geschwindigkeit am Kopf vorbei gezogen, und sobald das Bandende erreicht ist, wird der Kopf angehoben und wieder das gesamte Band durchgezogen. So bekommt man mit kostengünstiger Mechanik Kapazität und Geschwindigkeit. Beim Kauf solcher Laufwerke ist jedoch darauf zu achten, dass sie Read after Write beherrschen, der Datensicherheit zuliebe.

Exabyte

Aus der Technik von Video-8 abgeleitet, galten die Bänder wegen enger Bandführungsradien, weiter Kopfumschlingung und der resultierenden Strapazierung als verschleißanfällig. Bei neueren Produkten sollen diese Probleme behoben sein, doch es gibt andere Schwierigkeiten. Schiebt man ein Band zum Lesen in ein nicht baugleiches Laufwerk, so funktioniert das Lesen nicht immer. Das kann auch bei Laufwerken desselben Herstellers auftreten. Mit dem typischen Problem richtig einzustellender Blockgrößen, das oft in Newsgroups auftaucht, hat dies nichts zu tun. Bei Ausfall eines Laufwerks sollte also ein baugleicher Ersatz in Reichweite sein. Exabyte erreicht derzeit Kapazitäten bis 60 GB pro Band (unkomprimiert).

DAT

Die Kapazitätsangaben bei DAT sind in der Regel mit unrealistisch hohen Kompressionsraten ermittelt. In der Praxis ist nur der unkomprimierte Wert von Relevanz. Wegen des relativ großen “Verschnitts” bei faulen Bandstellen liegt die real erzielte Menge in der Regel darunter. Mit dem DDS-3 Standard sollen DAT-Laufwerke die Verschmutzung des Kopfes erst viel zu spät erkennen und anzeigen. Ein Phänomen, welches häufiger auftritt, sind beim schnellen Suchen auf dem Band übersehene Markierungen. Das kann dazu führen, dass Daten nicht gefunden oder schlimmstenfalls Bandteile überschrieben werden, ohne, dass es zunächst auffällt. Ab DDS-3 wird der Kopf im Laufwerk bei Betrieb relativ oft automatisch gereinigt. Daraus soll aber keine übermäßige Abnutzung resultieren. Es ist dringend anzuraten, bei DAT die Reinigungsintervalle einzuhalten, welche die Hersteller in der Begleitdokumentation empfehlen, aber nicht übertreiben. DAT erreicht mit DDS-4 theoretisch unkomprimierte 20 GByte pro Band.

Der Weg zur Datensicherung

Eine einfache und leistungsfähige Variante ist der direkte Anschluss des Laufwerks an den Rechner. Hierbei wird auch das Netzwerk nicht belastet, und eventuelle Security-Überlegungen bezüglich abgehörter Daten sind nicht nötig. Brennt allerdings der Server ab, sind die Bänder nicht zu retten. Dieses Problem kann man durch regelmäßige Entnahme und Lagerung an anderem Ort etwas entschärfen. Die entscheidende Frage ist, welche Zeiträume ohne Sicherung akzeptabel sind.

Eine häufig verwendete Firmenlösung ist die Sicherung über Netzwerk zu einem Rechner, der dann als Backup-Server fungiert. Soll dabei das Netzwerk nicht belastet werden, über welches die Rechner der User bedient werden, kann man die Möglichkeit einer zusätzlichen Netzwerkverbindung zwischen den beiden Rechnern erwägen. Ist Security ein wichtiger Aspekt, werden alle typischen Probleme bei Netzwerkdiensten relevant.

Korrekte Zugriffsrechte

Kann nur derjenige die Backupdaten lesen/schreiben, der das auch darf? Gibt es systematische Hintertüren, die aus der Architektur resultieren? Können Bugs (etwa Buffer-Overflows) zu unberechtigten Zugriffen führen ? In jedem Fall müssen die Permissions der Devices in /dev geprüft werden. Normalerweise ist Welt-Schreibbarkeit für die Bänder gegeben, und selbst namhafte Backup-Produkte ändern dies nicht ab oder geben keine Hinweise in der Dokumentation. Kann hier keine Einschränkung der Rechte durchgeführt werden, ohne dass die Backup-Software den Dienst einstellt, muss überlegt werden, den Backup-Server gegen Login durch normale, möglicherweise böser, Benutzer zu sperren. Diese Überlegung gilt natürlich nicht nur beim Backup über Netzwerk.

Da aber meist Daten aus einem Filesystem gesichert werden, kommt auf die steuernde Software eine weitere Aufgabe zu: Weder Massenspeicher noch Backup-Gerät wissen etwas über die Filesystem-Struktur. Dies weiß nur der Fileserver, genauer gesagt, der Filesystem-Treiber im Betriebssystem. Wenn eine Datei gesichert wird, muss also dem Massenspeicher gesagt werden, welche Blöcke er an das Backup-Gerät schicken soll.

Eine weitere Variante sei noch kurz skizziert: Es gibt Geräte (zum Beispiel Celerra von EMC, Server von Network Appliance oder Geräte von Transtec [2]), die in einem Gehäuse Massenspeicher und Logik vereinen, so dass sie sich im Netz als reine Fileserver darstellen (“Network Attached Storage”) Sie bieten typischerweise keine anderen Services an und man kann sich auch nicht einloggen. Soll deren Sicherung nicht über den Fileservice im Netzwerk laufen, so besteht die Möglichkeit, direkt an diese Geräte Laufwerke und Wechsler anzuschließen. Backup-Software auf den Geräten selbst und steuernde Software auf einem Rechner im Netzwerk (NetApp NFS-Server und Veritas NetBackup [8]) ermöglichen dann die Sicherung.

Bei Sicherung über NFS-Mounts muss zum Backup-Zeitpunkt mindestens ein read-only-root-Export vorhanden sein, da sonst lesegeschützte Daten nicht gesichert werden. Beim Restore muss root sogar über NFS schreiben dürfen. Da ein gefälschtes UDP-Paket mit dem Absender des NFS-Client bereits ausreicht, um auf dem NFS-Server Daten zu manipulieren, besteht hier ein potentielles Sicherheitsrisiko.

Backup-Software

Frei verfügbare Pakete [4] wie beispielsweise Kdat, Amanda, Burt oder Afbackup [1] des Autors sind hier ebenso interessant wie kommerzielle Software. Eine auszugsweise Auflistung von Backup-Programmen, die in diesem Heft nicht an anderer Stelle erwähnt werden, befindet sich in den Referenzen.

Grundsätzlich gilt bei der Auswahl einer Software dasselbe wie bei allen anderen Produkten. Wer Aussagen eines Herstellers einfach glaubt, geht ein Risiko ein. Auf eine Testinstallation sollte nach Möglichkeit nicht verzichtet werden. Dabei sollte man mit möglichst realistischen Randbedingungen testen. Die Probleme, die wirklich weh tun, treten erst bei höherer Komplexität unter Nutzung von Kombinationen von Features oder im Zusammenhang mit anderen Komponenten auf.

Bisweilen wird stillschweigend angenommen, dass bestimmte Funktionalitäten vorhanden sind, etwa dass ein Verify (also Vergleich des Inhalts der Sicherung mit dem Filesystem) möglich ist oder dass bei einer Archivierung beim anschließenden Lesen des Bandes ein solcher Vergleich stattfindet. Das muss aber nicht unbedingt so sein.

Der Index kann ein Problem sein

Eine typische Eigenschaft der meisten Produkte kann sich auch als Achillesferse herausstellen: Damit man bequem gezielt bestimmte Daten zur Wiederherstellung auswählen kann, verwalten die Systeme einen “Online-Index”. In diesem ist die gesamte Struktur der gesicherten Verzeichnisbäume abgelegt. Mit einem passenden Programm können User oder Administratoren in den gesicherten Daten navigieren wie in einem File-Browser und eine Auswahl für das Restore treffen. Wenn hierbei dieselben Rechtebeschränkungen wirksam werden sollen wie beim Arbeiten im Filesystem, können auch die Permissionflags und Eigentümerschaften dort hinterlegt sein. Zusätzlich werden Informationen verwaltet wie Sicherungszeitpunkt, Lokation der Daten auf Bändern oder Flags, ob der Dateisystemeintrag wiederhergestellt werden soll.

Im Grunde wird hier eine Art Filesystem ohne Datenblöcke aufgebaut, aber mit zusätzlichen Informationen. Je mehr Einträge im zu sichernden Filesystem vorhanden sind, desto größer wird der Index. Wenn im Orginalverzeichnis nur leere Dateien oder Symlinks liegen, kann dieser Online-Index, der auch in einem Filesystem liegt, mehr Platz beanspruchen als die Originaldaten.