Se os instantâneos do LVM não estiverem funcionando para você, será necessário examinar os backups periódicos (e possivelmente freqüentes), gravados em um local onde o malware não tenha acesso de gravação. Então você só teria o instantâneo do LVM ativo por tempo suficiente para fazer o backup.
Se isso significa usar Duplicity ou borg-backup ou rsync ou rdiff-backup ou rsnapshot, gravar em uma unidade USB externa ou um servidor na outra extremidade de uma conexão SSH, é com você.
Pessoalmente, eu prefiro o borg-backup, porque ele faz:
- De-duplicação em blocos de tamanho variável
- Compressão
- Funciona bem em SSH
- Cria um número mínimo de arquivos no servidor de backup
- É muito rápido após o backup inicial
O Borg é rápido o suficiente para criar incrementais, que eu consideraria criar um instantâneo LVM do sistema de arquivos de origem, fazer o backup com o Borg e, em seguida, remover o instantâneo do LVM. Dependendo da quantidade de dados e arquivos que estão sendo armazenados em backup, isso pode ser inferior a um ou dois minutos por hora em que o instantâneo estará ativo.
Anedota: Usada para fazer backup de um servidor de e-mail baseado em MailDir de 100 GB com rdiff-backup e demorou de 4 a 6 horas por dia e criou muitos e pequenos arquivos no sistema de arquivos de destino. O uso do Attic (o antecessor do Borg) transformou isso em uma operação de 15 a 20 minutos e criou apenas algumas centenas de arquivos no sistema de arquivos de destino. Então, eu não sou mais fã de backups baseados em rsync devido ao grande número de arquivos que são criados no diretório de destino.
Links: