O kopiach zapasowych i innych oczywistościach

Transkrypt

Tendencje
IT Security Review
O kopiach zapasowych
i innych oczywistościach
„Prawdziwi twardziele nie robią backupów” – napisał ironicznie Pan Maciej Szmit. Zaczynamy je
doceniać wtedy, gdy zazwyczaj jest już za późno. Awaria sprzętu, wirusy, czynniki środowiskowe,
nie mamy na to wpływu lub mamy znikomy. A jednak, jeżeli można się zabezpieczyć, dlaczego
nie ułatwić sobie życia?
B
yło piękne jesienne popołudnie. Młody, dobrze zapowiadający się informatyk niespiesznym krokiem podążał do pracy. Jego poprzednik, który niedawno rozstał się z firmą w niejasnych
okolicznościach, pozostawił po sobie lekki bałagan.
Sprzęt wyglądał nieźle. Solidne serwery Compaqa
i IBM-a z hotswapową macierzą SCSI, markowe switche HP i piętnastoletnia gwarancja na okablowanie
robiły wrażenie, które potęgowała, dobrana z trzykrotnym nadmiarem mocy, klimatyzacja.
Dzięki tej ostatniej, zespół administratorów miał
zawsze pod ręką skrzynkę chłodnych napojów (firma była dość liberalna, jeśli idzie o wychowanie
w trzeźwości, zresztą polityka bezpieczeństwa zabraniała obcym pętania się po serwerowni). Poprzednik – w jednej osobie administrator części
serwerów i szef IT – zdecydowanie zasłużył sobie
na wdzięczną pamięć.
MACIEJ SZMIT
Dr Maciej Szmit jest adiunktem w Katedrze Informatyki Stosowanej Politechniki Łódzkiej, współpracuje z projektem ISecMan i zasiada w radzie programowej miesięcznika „Hakin9”. Jest biegłym sądowym z zakresu informatyki.
8
Jeśli idzie o zagadnienia administracyjne, dawała się odczuć pewna dezynwoltura i ekstrawagancja, które niezorientowani mogli uznać za przejaw
indolencji i dyletantyzmu. Przyjęta zasada nadawania wszystkim praw zapisu i usuwania plików z katalogów innych użytkowników, mogła jednak być również interpretowana jako wyraz daleko posuniętego
zaufania do współpracowników, zaś stan dokumentacji (dla której określenie „szczątkowa” byłoby sporym komplementem) – mógł świadczyć o, skądinąd
słusznej, niechęci do bezsensownej papierkowej roboty. Trochę trudniej byłoby wyjaśnić, dlaczego oprogramowanie systemowe uaktualnione było ostatni raz
chyba z okazji koronacji Franciszka Józefa, zaś abonament na bazy sygnatur wirusów skończył się niedługo potem. Dyletantem poprzedni admin jednak
z pewnością nie był. Świadczyło o tym choćby poprawnie skonfigurowane oprogramowanie do wykonywania kopii bezpieczeństwa (cotygodniowy full backup
i dzienna kopia różnicowa w rotacji tygodniowej plus
comiesięczny full backup archiwizowany przez rok).
W zasadzie doprowadzenie tego wszystkiego do
nieco przyzwoitszego stanu nie było zadaniem specjalnie trudnym i młody człowiek zabrał się za porządki niespiesznie i ze stoickim spokojem. Zaczął od
praw użytkowników – o dziwo poszło jak z płatka –
uzupełnił nieco dokumentację, a na dzisiejszy wieczór
zaplanował sobie łatanie systemu operacyjnego.
Początkowo wszystko szło rutynowo – sprawdzenie,
czy nikt w sieci nie zapałał niezdrową chęcią pracy po
godzinach, zablokowanie możliwości zdalnego logowania na serwer, dodatkowy full backup, ściągnięcie najnowszego stabilnego servicepacka, uruchomienie programu instalacyjnego... Zimny restart i wdzięczny komunikat ABEND. Rzut oka do dokumentacji i na stronę z autoryzowanymi poradami technicznymi upewnił młodzieńca, że sytuacja nie jest najlepsza – servicepack należało zainstalować nieco inaczej, zaś w przypadku tego rodzaju awarii jedynym wyjściem jest reinstalacja systemu operacyjnego. Administrator pamiętał oczywiście o wykonanej przed chwilą kopii bezpieczeństwa, ale z przerażaniem uświadomił sobie, że wykonał ją na stramerze, który – rzecz jasna – potrzebuje
sterownika do nie najświeższej wersji dość egzotycznego systemu operacyjnego. Sterownik był, oczywiście, na
płytach dołączonych do serwera, ale te zniknęły wraz
z poprzednim adminem, a może nawet wcześniej. Sprówww.boston-review.com
bujcie zresztą sami znaleźć coś w pokoju, zajmowanym
od półtora roku przez pięciu młodych mężczyzn, w którym z zasady (polityka bezpieczeństwa) nigdy nie bywa
żadna sprzątaczka. Można, oczywiście, było próbować
uzyskać sterowniki od producenta, ale niestety na stronach www nie było odpowiedniej wersji. Procedura uzyskania ich drogą pocztową zakończyłaby się zapewne
w kilka dni. Mowa, oczywiście, o kilku dniach do wyrzucenia naszego bohatera z pracy za spowodowanie
przestoju firmy. I tak przyjemny, jesienny wieczór zamienił się w koszmarną noc, a młody informatyk (można
już chyba zdradzić, że był nim kilka lat temu niżej podpisany) przekonał się, że rutynowe działanie nie powinno
zwalniać od myślenia.
Rodzaje kopii bezpieczeństwa
Istnieją zasadniczo cztery rodzaje kopii bezpieczeństwa (jakkolwiek producenci różnych systemów operacyjnych różnie je nazywają):
• Plikowa (ang. file backup) – archiwizacji
podlegają wybrane przez administratora
pliki i katalogi/foldery. Tego rodzaju kopie,
przynajmniej krytycznych dokumentów, robią zazwyczaj nawet osoby skrajnie leniwe;
• Pełna (ang. full backup) – archiwizacji podlega całość zasobów dyskowych serwera
(w szczególności mogą to być również ukryte
ABEND
Niektórzy uważają, że chodzi o, stosowany w pewnych
systemach operacyjnych, skrót od ABnormal END oznaczający awaryjne zakończenie pracy serwera, jednak
powszechnie uważa się, że nazwa ta wzięła się od niemieckiego określenia pory dnia, najlepszej dla tego typu
awarii (jak wiadomo jest to Freitag Abend).
SYSTEMY ŚLEDZENIA TRANSAKCJI
Transakcję definiuje się jako ciąg nierozerwalnych działań, obejmujący: wczytanie danych wejściowych, aktualizację danych, zatwierdzenie/odrzucenie, kontrolę danych oraz ich transmisję przy zachowaniu warunków:
nierozrywalności, spójności, odizolowania od innych
transakcji oraz trwałości.
Nr 3/2007 (4)
Tendencje
IT Security Review
standardowo katalogi, zawierające informacje o usługach katalogowych, takich jak e-directory czy active directory;
• Przyrostowa (ang. incremential backup)
– taka, w której archiwizuje się dane, które
zostały dodane („przyrosły”) od czasu wykonania poprzedniej kopii bezpieczeństwa;
• Różnicowa (ang. differential backup) – to
jest taka, w której archiwizuje się dane, które zostały zmienione od czasu wykonania poprzedniej pełnej kopii bezpieczeństwa (czyli
to, czym różni się stan systemu dziś, od stanu systemu w czasie wykonywania ostatniej
pełnej kopii) (Rysunek 1).
Oczywiście, w przypadku dwóch ostatnich kopii,
przez „dodane dane” rozumie się też informacje
o usunięciu jakichś plików z serwera czy wykasowaniu ich zawartości.
Szczególnym rodzajem kopii pełnej jest tzw. Disaster Backup, to jest kopia, która umożliwia automatyczne odtworzenie całości systemu i danych bez ingerencji użytkownika. Disaster Backup generuje bootującą dyskietkę lub krążek CD/DVD tak, że w wypadku całkowitej awarii systemu (kiedy nie można
nawet uruchomić programu do odzyskiwania danych
z kopii zapasowej), administrator uruchamia system
z tejże dyskietki, a dalej następuje automatyczne odtworzenie wszystkich plików.
Pełna kopia bezpieczeństwa jest rozwiązaniem dobrym, ale nie jest – jak można się przekonać z powyższej historyjki – panaceum na wszelkie dolegliwości. W szczególności – oprócz konieczności zainstalowania oprogramowania systemowego, narzędziowego i sterowników, niezbędnych do odzyskania danych (ang. restore) – przy jej wykonywaniu pojawia
się problem otwartych plików. Niektóre programy
(np. systemowe narzędzia do wykonywania kopii zapasowych w Windows 98 czy w NetWare 5) nie radzą sobie z robieniem kopii zapasowych otwartych
plików. W zasadzie można to jakoś obejść, ale należy pamiętać, że zawsze – niezależnie od oprogramowania – kopiowanie otwartych plików grozi utratą integralności danych. Proces kopiowania nie przebiega
przecież natychmiastowo. Jeśli kopiujemy kilkanaście
plików, w których zawarte są informacje, powiązane
wzajemnymi zależnościami, to zawsze może zdarzyć
się, że połowa plików skopiowana zostanie przed
dokonaniem jakiejś zmiany, a połowa – już po niej.
W ten sposób informacja utraci integralność.
Istnieją różne metody rozwiązania tego problemu, poczynając od systemowego wsparcia dla przetwarzania transakcyjnego (poprzez systemy śledzenia transakcji), przez użycie wysokowydajnych i bardzo szybkich rozwiązań sprzętowo-programowych
(w końcu można zainstalować na jakiś czas dysk lustrzany, poczekać aż zsynchronizuje się on z dyskiem
pierwotnym, po czym odłączyć go od systemu i już
Kopie pełne (full backup)
Niedziela
Poniedziałek
Wtorek
Środa
Czwartek
Piątek
Sobota
Środa
Czwartek
Piątek
Sobota
Środa
Czwartek
Piątek
Sobota
Wszystko
Kopie przyrostowe (incremential backup)
Niedziela
Poniedziałek
Wtorek
Wszystko
Kopie różnicowe (differential backup)
Niedziela
Poniedziałek
Wtorek
Wszystko
Rysunek 1. Rodzaje kopii bezpieczeństwa
Nr 3/2007 (4)
www.boston-review.com
spokojnie wykonać jego kopię bezpieczeństwa, tę koncepcję może też wykorzystać specjalne oprogramowanie narzędziowe), aż po skądinąd słuszną zasadę,
że kopie bezpieczeństwa robi się w systemie, na którym nikt albo prawie nikt nie pracuje (co było łatwiejsze do osiągnięcia w czasach, kiedy nie było Internetu,
a użytkownicy w domach nie zajmowali się pracą po
godzinach na firmowych serwerach). Wprawdzie pewne pliki systemowe i tak pozostają otwarte praktycznie
przez cały czas pracy systemu operacyjnego, ale możemy je pominąć wstydliwym milczeniem.
Jeśli mamy do czynienia z maszyną, dla której RTO
jest dostatecznie duże, możliwość przerwania pracy
nie jest katastrofą, a finanse firmy nie pozwalają na
zakup porządnego oprogramowania, niezłą protezą
jest założenie dodatkowego dysku logicznego (albo
i fizycznego), zawierającego czysty system operacyjny i sterowniki. Możliwość zabootowania z takiej „ratunkowej” wersji systemu, pozwala na spokojne wykonanie kopii dysku podstawowego (i pewność, że
wszystkie pliki na nim, nie wyłączając systemowych,
są zamknięte), nie mówiąc już o tym, że przypadek,
kiedy system podstawowy przestanie się uruchamiać,
nie przenosi nas od razu do krainy horrorów.
RPO i RTO
RPO – Recovery Point Objective – opisuje docelowy stan odtworzenia, który może być zaakceptowany przez użytkownika danych. Jeśli nie chcemy po
dowolnej awarii utracić danych wcześniejszych niż
wczorajsze, musimy wykonywać kopie codziennie,
RPO wynosi 24 godziny. Oczywiście, może się zdarzyć, że mamy szczęście i awaria dopadnie nas w
kwadrans po wykonaniu kopii zapasowej.
RTO – Recovery Time Objective – to wielkość opisująca czas odtworzenia systemu. Jeśli jesteśmy
w stanie odtworzyć system i dane w ciągu dwóch
godzin od zniszczenia serwera, to RTO wynosi 2 godziny.
Słownik terminów, związanych z zarządzaniem ciągłości działania można znaleźć pod adresem: http://recoveryspecialties.com/glossary.html
Oprócz tego, co i jak, warto zastanowić się, na co
wykonywać kopie bezpieczeństwa. Tam, gdzie stosuje się media wielokrotnego zapisu (np. taśmy do
streamera albo dyski RW), zazwyczaj funkcjonuje
kilka nośników, każdy dla odpowiedniego dnia tygodnia (lub jeżeli cykle są dłuższe, np. dla każdego
dnia miesiąca), tak, że taśma (krążek) z soboty kasowana i zapisywana jest powtórnie w następną sobotę. Profesjonalne oprogramowanie do wykonywania kopii bezpieczeństwa nadaje każdemu nośnikowi etykietę i nie pozwala na jego użycie przed upływem pełnego cyklu. Oczywiście, w przypadku nośników jednokrotnego zapisu (np. DVD-R) nie ma tego problemu, w przypadku mediów wielokrotnego
zapisu jest to natomiast kwestią krytyczną. Aby na
przykład odtworzyć dane ze środy w cyklu przyrostowym, należy najpierw odtworzyć dane z niedzieli (podówczas wykonano pełną kopię bezpieczeństwa), następnie kopię z poniedziałku, która zawierała dane wprowadzone (i informacje o danych usuniętych) w poniedziałek, kolejno kopię z wtorku i ze
środy. Jeśli pomyłkowo w środę wykonaliśmy kopię
na medium, zawierającym dane z wtorku, to mo-
9
Tendencje
IT Security Review
Piątek
Y
Y
Y
Y
Y
Tydzień I
Tydzień II
Tydzień III
Tydzień IV
Tydzień V
Poniedziałek
G
G
G
G
G
Wtorek
G
G
G
G
R
Środa
G
G
G
G
Czwartek
G
G
G
G
Rysunek 2. Strategia Dziadek-Ojciec-Syn
1
B
2
3
B
4
C
5
B
6
7
B
8
9
B
C
10
11
B
12
13
B
C
M
14
15
B
16
17
B
C
18
19
B
20
C
M
21
B
22
23
B
24
25
B
M
W
W
K
żemy odtworzyć stan systemu co najwyżej na poniedziałek. Jeśli — co gorsza — przez pomyłkę nadpisaliśmy kopię niedzielną, to — mimo posiadania
kopii (przyrostowych), wykonanych w poniedziałek
i we wtorek — utraciliśmy możliwość odzyskania danych. Dlatego też w systemach kopii przyrostowych
i różnicowych wskazane jest wykonywanie podwójnych kopii pełnych na początku każdego okresu, jak
bowiem wiadomo z prawa Murphy’ego, uszkodzony
okaże się nośnik zawierający kopię pełną.
sytuacji błędu krytycznego w przypadku awarii jednego z kontrolerów.
RAID – (Redundant Array of Independent Disks
lub Redundant Array of Inexpensive Disks, czyli nadmiarowa macierz niezależnych albo niedrogich dysków) – układ dwóch lub więcej dysków twardych
współpracujących w taki sposób, aby zapewnić dodatkowe możliwości, nieosiągalne przy użyciu jednego dysku.
Strategie kopii zapasowych
RAID level 0 (striping, wolumin paskowy):
Strategia Dziadek-Ojciec-Syn
Zakładamy, że wykonujemy kopie tylko w dni robocze
(kolor żółty – kopia pełna, wykonywna w każdy piątek, kolor zielony – codzienna kopia przyrostowa lub
różnicowa, kolor czerwony – pełna kopia, wykonywana co miesiąc) (Rysunek 2).
Strategia wieży Hanoi
Polega na wykonywaniu kopii w spoób cykliczny, przy
czym dla każdego kolejnego nośnika długość cyklu jest
dwa razy większa niż długość poprzedniego cyklu. Różnymi kolorami oznaczono tym razem kolejne nośniki.
Z kopiami bezpieczeństwa i archiwami (ściśle
rzecz ujmując pojęcia „backup”, czyli „kopia bezpieczeństwa”, dotyczą mniej lub bardziej kompletnej kopii systemu i danych, zaś „archiwum”, czyli
archive – zarchiwizowanych, w takiej czy innej postaci, wybranych plików i dokumentów) związana
jest kwestia rozwiązań nadmiarowych, wśród których warto wymienić przede wszystkim duplexing
i macierze RAID (Rysunek 3).
Duplexing i RAID
Duplexing – umieszczenie w serwerze dwóch niezależnych kontrolerów magistrali SCSI. Zapobiega to
10
•
•
•
Rysunek 3. Strategia wieży Hanoi
Aby zminimalizować ryzyko utraty danych przy jednoczesnym rozsądnym zużyciu nośników (co było ważne
w czasie, kiedy jedynym urządzeniem do backupów
były streamery z drogimi taśmami) , wymyślono kilka
złożonych strategii backupowych. Najbardziej znanymi są strategie Dziadek-Ojciec-Syn oraz wieża Hanoi.
Zasady ich działania ilustrują rysunki ponieżej.
•
C
Poziomy RAID
• zasada działania: dane są rozrzucone pomiędzy dyskami;
• szybkość działania: większa niż w przypadku
pojedynczego dysku;
• odporność na uszkodzenia: mniejsza niż
w przypadku niezależnych dysków (awaria
jednego z dysków powoduje utratę danych);
• liczba dysków(n): dwa lub więcej;
• dostępna przestrzeń: n razy pojemność dysku.
RAID level 1 (mirroring, dyski lustrzane):
• zasada działania: drugi dysk jest lustrzaną
kopią pierwszego, uaktualnianą w czasie
rzeczywistym;
• szybkość działania: taka sama jak przypadku
pojedynczego dysku;
• odporność na uszkodzenia: większa niż
w przypadku niezależnych dysków;
• liczba dysków(n): 2;
• dostępna przestrzeń: pojemność pojedynczego dysku.
RAID level 2:
• zasada działania: dane na dyskach są paskowane. Zapis następuje po 1 bicie na pasek. Dodatkowy dysk, wykorzystywany jest do
przechowywania informacji, generowanych
za pomocą kodu Hamminga, potrzebnych do
korekcji błędów. W przypadku uszkodzenia
dowolnego dysku, możliwe jest odbudowanie
jego zawartości na podstawie informacji z pozostałych dysków;
szybkość działania: mniejsza niż przypadku
pojedynczego dysku;
odporność na uszkodzenia: większa niż
liczba dysków(n): 3 lub więcej;
dostępna przestrzeń: (N-log N) razy pojemność pojedynczego dysku.
RAID level 3:
• zasada działania: dane składowane są
na N-1 dyskach. Ostatni dysk służy do
przechowywania kodów kontrolnych (zawartość dysku 1 xor zawartość dysku 2).
W przypadku uszkodzenia dowolnego dysku, możliwe jest odbudowanie jego zawartości na podstawie informacji z pozostałych dysków;
• szybkość działania: mniejsza szybkość zapisu, a większa odczytu niż przypadku pojedynczego dysku;
• liczba dysków(n): 3 lub więcej;
• dostępna przestrzeń: (N-1) razy pojemność
pojedynczego dysku.
RAID level 4:
• zasada działania: jak RAID 3, z tym, że zarówno dane, jak i sumy kontrolne są rozrzucone po dyskach macierzy;
• szybkość działania: większa niż przypadku
pojedynczego dysku;
pojedynczego dysku.
RAID level 5:
• zasada działania: jak RAID 3, z tym, że dane
są dzielone na bloki (jak w RAID 0);
• szybkość działania: mniejsza szybkość zapisu, a większa odczytu niż przypadku pojedynczego dysku;
pojedynczego dysku.
Nr 3/2007 (4)
Tendencje
IT Security Review
RAID level 6 lub RAID 5+1:
• zasada działania: jak RAID 5, ale zawiera
dwie niezależne sumy kontrolne;
• szybkość działania: większa niż przypadku
pojedynczego dysku;
• odporność na uszkodzenia: dużo większa niż
pojedynczego dysku.
RAID 0+1:
• zasada działania: macierz RAID 1, której elementami są macierze RAID 0;
• szybkość działania: jak w macierzy RAID 0;
• odporność na uszkodzenia: jak w macierzy
RAID 1;
• liczba dysków(n): 4 (co najmniej dwie macierze RAID 1);
• dostępna przestrzeń: (N/2) razy pojemność
pojedynczego dysku.
RAID 10 lub RAID 1+0
• zasada działania: macierz RAID 0, której elementami są macierze RAID 1;
• szybkość działania: jak w macierzy RAID 0;
• odporność na uszkodzenia: nieco większe niż
w macierzy RAID 1;
Nr 3/2007 (4)
• liczba dysków(n): 4 (co najmniej dwie macierze RAID 0);
• dostępna przestrzeń: (N/2) razy pojemność
pojedynczego dysku.
Warto, oczywiście, pamiętać, że RAID to nie backup i że służy do czegoś innego, mianowicie – przynajmniej w niektórych przypadkach – do przyspieszenia transferu z dysku, a przede wszystkim do zwiększenia tolerancji systemu komputerowego na awarie dysków. W szczególności żaden RAID nie pomoże nam po ataku hakera (albo, co gorsza, zdolnego
użytkownika), który poleceniem systemowym skasował ważne dane, nie pomoże też odzyskać danych
sprzed tygodnia.
Kiedy, po co i jak wykonywać kopie
bezpieczeństwa
Ogólnie znane zalecenia, co do wykonywania kopii informacji, zawiera Polska Norma PN-ISO/IEC 17799:
2007 Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem informacji (rozdział 10.5.1). Kopie powinny być
wykonywane (i, co bardzo ważne, testowane) regularnie, zgodnie z potrzebami firmy, określonymi odpowiednią polityką wykonywania kopii zapasowych. Jeśli
wymaga tego poufność – kopie powinny być szyfrowane, no i, oczywiście, zawsze powinny być przechowywane w miejscu innym niż dane pierwotne.
Warto pamiętać, aby – oprócz regularnych – wykonywać dodatkowe pełne kopie przed każdą insta-
lacją jakiegokolwiek oprogramowania (w szczególności również rozmaitych service packów i patchy), a
przed każdą poważniejszą zmianą konfiguracji wykonać przynajmniej kopię archiwalną plików konfiguracyjnych, które za chwilę będziemy zmieniać.
Dość istotny może być przypadek przechowywania bezterminowo kopii zapasowych. Z jednej strony kopie takie mogą być bezcennym materiałem dla
specjalisty od informatyki śledczej (jeśli trzeba będzie ustalić, kiedy właściwie i jak nastąpiło przejęcie
naszego serwera przez włamywacza) czy dla biegłego sądowego (jeśli będziemy się spierać z dostawcą oprogramowania, czy nasz system utracił stabilność po zainstalowaniu jego autorskiego programu
i jakie straty w związku z tym ponieśliśmy), z drugiej
– mogą pojawić się problemy z przechowywaniem
danych, których przechowywać nie mamy już prawa. Ale to już zagadnienia dla prawników.
Na koniec jeszcze finał historyjki, od której rozpoczęliśmy artykuł – na szczęście młody informatyk (rutynowo) wybrał podczas instalacji wykonywanie lokalnej kopii plików, nadpisywanych przez
servicepack. Wprawdzie, z powodu awarii, nie było dostępu do partycji, na której kopia ta się znajdowała (nietypowy system plików), ale dało się to
obejść, uruchamiając system z oryginalnego dysku
instalacyjnego (oczywiście, „oryginalny” oznaczało
w tym miejscu wersję ewaluacyjną, którą nasz bohater miał w swoich prywatnych zasobach). Dalej
poszło już jak po maśle. No, w każdym razie już o
czwartej nad ranem wszystko działało aż miło.
11

O kopiach zapasowych i innych oczywistościach

Transkrypt

Podobne dokumenty

Załącznik nr 1

Sony : Informacje o produktach : NSR

NAS-7202

Komputery Stacjonarne - Przetarg