Sicher ist sicher

Der Weg zur Datensicherung

Eine einfache und leistungsfähige Variante ist der direkte Anschluss des Laufwerks an den Rechner. Hierbei wird auch das Netzwerk nicht belastet, und eventuelle Security-Überlegungen bezüglich abgehörter Daten sind nicht nötig. Brennt allerdings der Server ab, sind die Bänder nicht zu retten. Dieses Problem kann man durch regelmäßige Entnahme und Lagerung an anderem Ort etwas entschärfen. Die entscheidende Frage ist, welche Zeiträume ohne Sicherung akzeptabel sind.

Eine häufig verwendete Firmenlösung ist die Sicherung über Netzwerk zu einem Rechner, der dann als Backup-Server fungiert. Soll dabei das Netzwerk nicht belastet werden, über welches die Rechner der User bedient werden, kann man die Möglichkeit einer zusätzlichen Netzwerkverbindung zwischen den beiden Rechnern erwägen. Ist Security ein wichtiger Aspekt, werden alle typischen Probleme bei Netzwerkdiensten relevant.

Korrekte Zugriffsrechte

Kann nur derjenige die Backupdaten lesen/schreiben, der das auch darf? Gibt es systematische Hintertüren, die aus der Architektur resultieren? Können Bugs (etwa Buffer-Overflows) zu unberechtigten Zugriffen führen ? In jedem Fall müssen die Permissions der Devices in /dev geprüft werden. Normalerweise ist Welt-Schreibbarkeit für die Bänder gegeben, und selbst namhafte Backup-Produkte ändern dies nicht ab oder geben keine Hinweise in der Dokumentation. Kann hier keine Einschränkung der Rechte durchgeführt werden, ohne dass die Backup-Software den Dienst einstellt, muss überlegt werden, den Backup-Server gegen Login durch normale, möglicherweise böser, Benutzer zu sperren. Diese Überlegung gilt natürlich nicht nur beim Backup über Netzwerk.

Da aber meist Daten aus einem Filesystem gesichert werden, kommt auf die steuernde Software eine weitere Aufgabe zu: Weder Massenspeicher noch Backup-Gerät wissen etwas über die Filesystem-Struktur. Dies weiß nur der Fileserver, genauer gesagt, der Filesystem-Treiber im Betriebssystem. Wenn eine Datei gesichert wird, muss also dem Massenspeicher gesagt werden, welche Blöcke er an das Backup-Gerät schicken soll.

Eine weitere Variante sei noch kurz skizziert: Es gibt Geräte (zum Beispiel Celerra von EMC, Server von Network Appliance oder Geräte von Transtec [2]), die in einem Gehäuse Massenspeicher und Logik vereinen, so dass sie sich im Netz als reine Fileserver darstellen ("Network Attached Storage") Sie bieten typischerweise keine anderen Services an und man kann sich auch nicht einloggen. Soll deren Sicherung nicht über den Fileservice im Netzwerk laufen, so besteht die Möglichkeit, direkt an diese Geräte Laufwerke und Wechsler anzuschließen. Backup-Software auf den Geräten selbst und steuernde Software auf einem Rechner im Netzwerk (NetApp NFS-Server und Veritas NetBackup [8]) ermöglichen dann die Sicherung.

Bei Sicherung über NFS-Mounts muss zum Backup-Zeitpunkt mindestens ein read-only-root-Export vorhanden sein, da sonst lesegeschützte Daten nicht gesichert werden. Beim Restore muss root sogar über NFS schreiben dürfen. Da ein gefälschtes UDP-Paket mit dem Absender des NFS-Client bereits ausreicht, um auf dem NFS-Server Daten zu manipulieren, besteht hier ein potentielles Sicherheitsrisiko.