Predošle články boli zamerané na zálohovanie a automatizáciu procesu zálohovania. Zálohovanie je fajn vec, ale po havárii sa musíme vedieť k zálohám dostať. Zálohy nemôžeme uložiť hocikde a v nezašifrovanom stave. K zálohám musí mať prístup len poverená osoba/y. Netreba nechávať priestor ani tretej strane a spoliehať sa na cloudy poskytujúce „kvázi“ bezpečnosť. Ak je to možné, tak vždy odporúčam self-hosting, avšak v prípade záloh musí byť aspoň jedna oddelená od vlastnej infraštruktúry.
Ak niekto čítal predošlé články a myslí si, že je všetko v suchu, tak sa veľmi mýli. Aj keď mám zálohy uložené na google drive v zašifrovanom stave, tak v prípade väčšieho pádu sa k ním nemusím dostať ani ja. Pod pojmom väčší pád, myslím úplné zničenie akéhokoľvek HW ktorý vlastním (požiar, krádež, iná prírodná katastrofa).
Povedzme, že som prišiel skutočne o všetko, kde mám uložené zálohy (SSD, kde sú zálohy uložené lokálne, USB stick a aj desktopový SSD) Zálohy ostali len na google drive a tam sa dostaneme len cez google konto. Vieme heslo na google konto ? Nevieme! Prečo nevieme heslo ? Pretože heslo bolo vygenerované password manažérom a uložené vo vaultwarden trezore, ktorý je súčasťou LXC (a ten je predsa na google drive a zašifrovaný).
Otázka ďalej znie, potrebujeme vedieť heslo do google konta ? Nepotrebujeme, pretože mi sa na google drive dostaneme pomocou rclone a tokenu, ktorý sme riešili tu. Ako sme si napísali v predošlých článkoch, my sa potrebujeme dostať k nášmu rclone config file a ten by sme mali mať uložený mimo google konto, kde máme zálohy. Rclone config obsahuje komplet informácie aby sme sa bezpečne prihlásili na google drive (bez znalostí hesla) a aby sme vedeli dešifrovať stiahnuté zálohy. V predošlých článkoch som odporúčal rclone config file uložiť tiež do emailu, ale rozhodne mimo google konto, ktoré používame na zálohy.
Nastáva ďalší problém, že my nevieme heslo ani k tomu druhému emailu, pretože heslo je tiež uložené vo vaulwarden trezore. Tu nám už nepomôže nič a jedno heslo si musíme jednoducho pamätať. Ak máme zlú pamäť, môžeme si ho napísať na papier, alebo uložiť niekde v PC do txt súboru, alebo už každy ako uzná za vhodné. Odporúčam vymyslieť také heslo aby nám dávalo zmysel
- Aspoň 8 znakov
- Malé a veľké písmena
- aspoň 2 čísla
- min. 2 špeciálne znaky (!@#$%^&*{=}][\’$><~\|€)
Odporúčam tiež zbaliť a zaheslovať aj rclone config file (tiež zvážiť aké heslo sa použije).
Ak sa teda úspešne dostaneme k rclone config file, stačí nám do hocijakého PC nainštalovať rclone a použiť rclone config file. Vtedy sa dostaneme k naším zálohám a máme vyhraté. Vylistujeme si čo je obsahom adresára a môžeme sťahovať
rclone lsf mygdrive_crypt:/backup
V mojom prípade môže nastať ešte jeden problém a to autentifikácia PPPoE. To sú prístupové údaje na pripojenie do internetu. Ja si ich jednoducho nepamätám, preto si ich spolu s rclone config file uložím v emaily. Ale ako sa dostanem do emailu, keď nepoznám PPPoE údaje a internet bude nefunkčný. Pre takéto prípady poslúži aj mobilný 4G internet.
Záver
Z dnešného článku vyplýva, že mi si potrebujeme pamätať minimálne jedno heslo do emailu a ďalšie heslo pre rozbalenie zašifrovaného rclone config file. Neodporúčam používať rovnaké heslo do emailu a ku zaheslovanému rclone config file. Aj keď správca emailu hesla hashuje, tak pri registrácii si ho jednoducho dokáže odchytiť. Pevne verím, že nedôjde k situácii aby som niekedy musel riešiť tieto problémy.
Doplňujúce info 16.11.2024
Tento článok som prehodnotil a doplňujem ďalšie informacie:
Ako už bolo spomenuté, tak celú infraštruktúru prevádzkujem v domácom prostredí (homelab) a takmer všetko si hostujem sám (self-hosting) bez možnosti vysokej dostupnosti (HA), resp. redundancie. To znamená, že ak dôjde k poškodeniu HW, alebo inej nepredvídanej situácii a ja prídem o data, tak mi neostane nič, len to čo je zašifrované na cloude.
Neviem či som to spomínal, ale na svojich serveroch udržiavam aj rozsiahlu dokumentáciu postavenú na projekte DokuWiki. Po kolapse nebude dostupná ani lokálna DokuWiki a ja budem prakticky bez akýchkoľvek informácii. Pre tento účel som zaregistroval na infinityfree hostingu konto, kde som vytvoril ďalší dokuwiki web. Tento hosting je poskytovaný úplne zadarmo a v súčasnosti aj bez reklám.
Niektoré časti z lokálnej dokuwiki som preniesol do novej dokuwiki aby som mal rýchly prístup k informáciám ako postupovať po kolapse. Celá dokuwiki je uzavretá, čiže z vonku sa tam bežný smrteľník nedostane. V dokuwiki sú uložené aj dôležité hesla, ktoré môže vidieť tiež poskytovateľ hostingu, ale to mi vôbec neprekáža, pretože poskytovateľ nevie k čomu tie hesla patria.
To znamená, že teraz si potrebujem zapamätať len jedno heslo a to je heslo do dokuwiki.