Frage zu Datensicherung mit Deja Dup

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
Stevo
Beiträge: 20
Registriert: 17.09.2018 20:00:16

Frage zu Datensicherung mit Deja Dup

Beitrag von Stevo » 18.09.2018 20:46:50

Hallo zusammen,

ich bin aktuell an der Umstellung der "Familien-IT" auf Linux. Dabei hab ich mich an einem Punkt festgebissen und komme nicht weiter.

Aktuell erfolgt die Datensicherung aller Rechner auf ein NAS im Hausnetz. Dafür hat jeder PC ein eigenes Verzeichnis auf dem NAS mit eigenen Anmeldedaten und Berechtigungen (einen separaten "Datensicherungs-User") mit dessen Anmeldedaten über das Datensicherungsprogramm (unter Windows Home Macrium Reflect unter Professional die Windows eigene Datensicherung) die Datensicherung auf das NAS erfolgt. Der normale User am Rechner hat keinen Zugriff auf diese Verzeichnisse am NAS. Das funktioniert auch.

Damit soll der typische Cryptotrojaner so weit ausgehebelt werden, dass er wenigstens die Datensicherung nicht ruinieren kann.

Aktuell hab ich folgende Nuss zu knacken:

Auf dem Versuchs-Rechner läuft ein aktuelles Debian Stretch mit Gnome. Das Backup-Programm ist das Standard-Deja-Dup mit Duplicity dahinter. Es soll "Bedienerlos" jeden Tag das Backup erledigen und das klappt auch grundsätzlich.

Versorge ich das Deja-Dup in dessen grafischer Benutzeroberfläche mit den Anmeldedaten des Backup-Users und dem Verschlüsselungspasswort für die Datensicherung, so speichert Deja-Dup diese in einem Gnome Schlüsselbund (?), der beim Anmelden automatisch entsperrt wird und dem angemeldeten User ohne weitere Eingabe den Zugriff auf das NAS-Verzeichnis erlaubt, das eigentlich exklusiv dem Backup-User vorbehalten sein soll. Auf die Weise ist der von mir geplante Schutz vor Cryptotrojanern (und fahrlässigen Usern) sinnlos.

(Wie) kann ich dieses Verhalten so ändern, dass nur Deja-Dup diese Anmeldedaten und das Passwort verwendet bzw so speichert, dass nur es selbst Zugriff hat? Oder geht das gar nicht (mit Deja-Dup)?

Ich hoffe ich hab es deutlich genug beschrieben, ich weiß es nicht besser auszudrücken. Mit Linux kenne ich mich noch nicht so gut aus.

Wäre schön, wenn mir jemand hier weiterhelfen kann.

Beste Grüße
Stefan

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Frage zu Datensicherung mit Deja Dup

Beitrag von pferdefreund » 19.09.2018 07:18:37

Kann man den gnome-schlüsselbund nicht konfigurieren und da Dinge ausschließen. Verwende das selbst nicht - vermute aber, dass sowas möglich sein könnte. Ansonsten den Schlüssel für den Backupuser erst mal im Schlüsselbund löschen - geht sicherlicht - die Schlüsselbund-Datei ermitteln (find -date ... usw - dann vorm Backup kopieren und nach dem Backup
wieder rücksichern.

Stevo
Beiträge: 20
Registriert: 17.09.2018 20:00:16

Re: Frage zu Datensicherung mit Deja Dup

Beitrag von Stevo » 19.09.2018 19:56:09

Naja, mit dem Schlüsselbund kenne ich mich überhaupt nicht aus und ich werde aus der Doku auch nicht schlau. Nach dem Ubuntu Wiki soll man den Zugriff durch bestimmte Programme ausschließen können etc. nur finde ich das nicht und im Wik ist das auch nicht weiter erläutert.

Hier https://wiki.gnome.org/Projects/GnomeKe ... ecurityFAQ steht:

"Can one application see another application's secrets?"
Any application that executes with the same user's privileges can get access to any of the user's keyrings, and thus, can read secrets stored in any that are unlocked.

"But SELinux provides finer control between applications?"

SELinux is not yet integrated with Gnome Keyring. We need help to bring something like this to reality.


Das macht mir wenig Hoffnung. Aber vielleicht gibts einen Kenner, der mir etwas erklären oder aushelfen kann.
Gedacht ist, dass die Sicherung auf den jeweiligen PC ohne jeden Benutzereingriff läuft. Am besten ohne "selbstgeschnitztes" Script.

Danke Dir erst mal

Stevo
Beiträge: 20
Registriert: 17.09.2018 20:00:16

Re: Frage zu Datensicherung mit Deja Dup

Beitrag von Stevo » 05.01.2019 22:08:13

Ich muss den Sachverhalt hier nochmal hochholen, weil ich bislang zu keiner Lösung gekommen bin. Damit man die Historie nicht lesen muss, die aktuelle Frage:

Kennt jemand einen Weg, mit dem man Deja-Dup beibringen kann, die Anmeldedaten der Backup-Freigabe auf dem NAS NICHT im Gnome-Keyring zu speichern oder so zu speichern, dass die Freigabe nicht beim Start des aktuellen Users aus dem Gnome-Keyring automatisch eingehängt wird? Ziel ist, einer evtl. Crypto-Malware den Zugriff auf die Backups zu verwehren.

Ziel ist, dass nur Deja-Dup und nur während das Backup läuft den Zugriff auf die Backup-Freigabe hat und der angemeldete User nicht.

Aktuell bringe ich so etwas nicht hin. Eine entsprechende Anfrage auf der Launchpad-Seite zu Deja-Dup wurde nach ein paar wenigen Tagen automatisiert gelöscht, weil niemand geantwortet hatte (seltsames Vorgehen). Vielleicht bin ich zu unerfahren, vielleicht lässt sich das auch nicht bewerkstelligen. Auch willkommen, wenn jemand sagen kann, dass das definitiv nicht geht.

Mein aktuelles Vorgehen ist die freie Version von Veeam Agent zu verwenden. Möglicherweise ist das die Option die eben übrigbleibt. Die wollte ich an sich vermeiden, weil der normale Familienuser da "nicht mal so eben" eine Datei über den Gnome-Dateimanager zurückholen kann / auf eine alte Version zurücksetzen kann. Deja-Dup ist für den normalen User sehr gut geeignet, wenn nur das Problem der ständig offenen Backup-Freigabe nicht wäre ...

Beste Grüße
Stefan

Antworten