Как защитить бэкапы от вирусов-шифровальщиков? И желательно — в автоматическом режиме?

На мой взгляд - слишком много "если" в такой схеме: если юзер будет работать с правами админа - что будет? Если у юзера будут права на запись на PhуsicalDriveX и если на нем будут бэкапы... Если будет использоваться повышение прав трояном...

vilgeforce: У админа отобрать такие права, вот и все дела.
Но это простейшее что можно сделать.
А по уму бэкапы должны храниться на отдельном сетевом устройстве. Поэтому нужно сразу же перемещать созданные в сетевой шаре бэкапы, в недоступное по сети место.

АртемЪ: Тут встает вопрос хранения предыдущих копий на случай бэкапа уже поврежденных данных...

vilgeforce: Не без этого. Ротация копий должна настраиваться грамотно. В каждом случае по разному.
У меня во многих случаях хранятся ежедневные копии за последнюю неделю, еженедельные копии за текущий месяц, и несколько ежемесячных копий за текущий год.
Т.е это минимум который не будет удаляться при нехватке места, т.е если места не будет будет ошибка при бэкапе, и сообщение системному администратору, т.е мне.

Везде конечно по разному, в некоторых местах, некоторые данные бэкапяться каждые 10минут, теневым копированием.
В некоторых случаях вполне хватает еженедельных бэкапов.

АртемЪ: "нужно сразу же перемещать созданные в сетевой шаре бэкапы, в недоступное по сети место. "
Если место недоступно по сети - оно доступно из терминала сервера.
Я пока склоняюсь к тому, чтобы не сразу, а 1 раз в неделю отключать свой сервер бэкапов (комп, который ничего не делает, только по ночам принимает к себе бэкапы от всех) от сети предприятия, цеплять к нему какой-то диск и синхронизовать бэкапы на сервере бэкапов и на внешнем диске. Потом приводить всё в исходное состояние. Но это - вручную.
"бэкап должен делать специальный бэкап юзер" - подумаю и в эту сторону

Андрей Ермаченок: не понял что значит фраза "оно доступно из терминала сервера." в данном контексте.

Смотрите - есть файловый сервер, у него расшарена по сети папка, в которую можно складывать бэкапы.
Вы положили бэкап в папку, файловый сервер тут же перемещает бэкап в другое место, которое не расшаривается по сети. Т.е чтобы получить доступ к бэкапу надо залогиниться на сервер, под учетной записью которая имеет доступ к хранилищу.

А то что бэкап должен делать специальный пользователь - это обязательно.
Решает кучу проблем.
Даете этому пользователю права на запись в папку хранения бэкапов, и отбираете эти права у всех, даже у администраторов.
В результате шифровальщик, работающий под правами юзера не сможет удалить или зашифровать бэкап, и даже если он умудриться повысить привилегии до админа, прав на бэкап у него все равно не будет.

АртемЪ: "не понял что значит фраза "оно доступно из терминала сервера." в данном контексте."
Я имел ввиду - у меня все сервера доступны по RDP, И хоть диск с бэкапами не расшарен, то всё же как-то до него можно добраться.
"А то что бэкап должен делать специальный пользователь - это обязательно." - да, осознал. В течение недели нужно перенастроить APBackup и Acronis'ы
Я строил систему бэкапов для защиты от поломок/сбоев - точечных: Сдох диск, Сдохла материнка, Заглючила винда, Сдох БП и забрал с собой весь сервер ... Но - ОДИН диск, ОДНА материнка, ОДИН сервер. Не 2, не 3, не все диски - ОДИН диск, ОДИН сервер вышел из стороя, остальное осталось на этот раз исправным и работает.
И не думал в сторону: Придет зловред и зашифкует файлопомойку, файловые базы 1С, бэкапы, перемещаемые профили юзеров и еще что-то.
Нужно менять концепцию....

John Smith: А почему защищать от записи неудобно? Как правило коллекция медиаданных редко редактируется, поэтому вполне рабочий вариант.
И вопрос - почему именно ZFS? Функционал у нее конечно шикарный, но вот стабильность этой ФС под линуксом как то вызывает сильные сомнения. Я правда давно уже с ней не сталкивался, года два точно.
За это время что-то поменялось? Она достаточно стабильна стала?

John Smith: Ну просто я когда пробовал, на линкусе она скорее не работала, чем работала. Только на солярке.
Из ныне существующих пока вроде самое интересное решение для NAS это win server 2012, если конечно не обращать внимания на вопросы лицензионности, ибо по цене он не конкурентоспособен.

Пришел к тому же.
Сейчас думаю про вариант реализации.
Сервер архивов у меня - это офисный комп с SATA дисками. Тасовать диски лень. Вот думаю:
1. Добавить еще один диск
2. На переднюю панель поставить тумблер, через него запитать этот диск
3. В БИОСе поставить возможность извлечения.
4. Раз в неделю включить, синхронизовать с ним архивы, програмно отключить, выключить на нем питание.
Или - неделю писать архивы на один диск, вторую неделю - на другой? Аналогично включая - выключая диски. Но при этом варианте каждый раз шару перепрописывать нужно будет, как мне кажется.

Андрей Ермаченок: тасовать лень - это да! 2 пункт был бы не плох я думаю.

Пока - к двум компам (сервер архивирования и "сервер другого юрлица" не в локалке, сразу в Инет смотрит) подключаю USB-HDD, потом отключаю.
Лента - СИЛА!!! Это ж автомат!!!

Не понял немного, это сарказм? Да, лента это автомат, автоладеры, лучше ничего не придумали. Насколько часто бекапите на USB-HDD, он один?

Павел Вастеров: Не, я серьезно. Лентой пользовался очень давно, сейчас про нее и не вспомнил. Проработаю вопрос цены, может быть куплю.
Есть 2 сервера с архивами, 2 USB-HDD. Раз в 2 недели подключаю - сбрасываю архивы - отключаю. Это нужно не забыть, и работа ручная.

Пример, прям вчера случился, у пользователя "пропали данные", подключает внешний хдд, опс ... он сдох, сейчас на восстановлении, пока не понятно сколько смогут вытянуть :-( Если внешние, то минимум два, чередующихся, по времени. "Есть 2 сервера с архивами, 2 USB-HDD. Раз в 2 недели подключаю - сбрасываю архивы - отключаю. Это нужно не забыть, и работа ручная. " Тут совсем все хорошо :-)

Павел Вастеров: Попытался прицениться к стриммеру - или нет цен у продавцов на сайте, или начинаются с 200 000 руб. (дороговато для моих задач) На запросы не отвечают.
Сориентируйте пожалуйста в ценах.

С автозагрузкой, да от 200 тысяч, нормальные модели. Даже скорее дороже, я последний брал в начале скачка бакса.