Представлен выпуск системы резервного копирования Restic 0.18, позволяющей хранить резервные копии в зашифрованном виде в версионированном репозитории с поддержкой дедупликации. Система изначально рассчитана на то, что резервные копии сохраняются в окружениях, не заслуживающих доверия, и попадание резервной копии в чужие руки не должно скомпрометировать систему. При создании резервной копии возможно определение гибких правил для включения и исключения файлов и каталогов (формат правил напоминает rsync или gitignore). Поддерживается работа в Linux, macOS, Windows и BSD-системах. Код проекта написан на языке Go и распространяется под лицензией BSD.
Yo ka estoke backup yo nan yon sistèm dosye lokal, sou yon òdinatè ekstèn sèvè Aksesib via SFTP/SSH oubyen HTTP REST, nan Amazon S3, OpenStack Swift, BackBlaze B2, Microsoft Azure Blob Storage, ak Google Cloud Storage, ansanm ak nenpòt sèvis depo ki sipòte pa backend rclone yo. Sèvè REST pwojè a, ki bay pi bon pèfòmans pase lòt backend yo epi ki ka opere nan mòd "append-only", anpeche backup yo efase oubyen modifye si sèvè sous la ak kle chifreman yo konpwomèt.
Sistèm nan sipòte snapshots ki reflete eta a nan yerachi anyè a nan diferan pwen nan tan (snapshots yo kreye otomatikman pou chak backup). Li posib pou kopye snapshots ant diferan depo. Pou sove trafik, se sèlman done ki chanje yo kopye pandan pwosesis backup la. Yon snapshot ak yon kopi backup ka monte nan fòm lan nan yon patisyon vityèl (monte se fè lè l sèvi avèk FUSE). Yo bay kòmandman pou analize chanjman yo ak oaza pou fè ekstraksyon fichye yo tou.
Depo backup Restic pa manipile tout fichye yo, men pito blòk k ap flote yo chwazi lè l sèvi avèk siyati Rabin. Enfòmasyon yo estoke an relasyon ak kontni, pa non dosye (non ak objè ki asosye ak done yo defini nan nivo metadata blòk). Pou ekonomize espas depo epi elimine kopi done ki pa nesesè, deduplication fèt.
Sou sèvè ekstèn, enfòmasyon yo estoke nan fòm chiffres - SHA-256 hashes yo itilize pou chèk ak deduplication, algorithm AES-256-CTR yo itilize pou chifreman, ak kòd otantifikasyon ki baze sou Poly1305-AES yo itilize pou garanti entegrite. Li posib pou verifye kopi backup la lè l sèvi avèk chèk ak kòd otantifikasyon pou konfime ke entegrite dosye yo pa konpwomèt.
Nouvo vèsyon an elimine posiblite pou yon atak (PDF) pou detèmine prezans fichye espesifik nan yon depo backup chiffres. Atak la pèmèt yon moun detèmine si yon fichye espesifik nan yon backup chiffres lè li jwenn aksè nan depo backup la oswa lè li analize trafik rezo a ak backups. Pa egzanp, administratè sèvè kote backup yo estoke a, yon founisè entènèt, oswa ajans entèlijans ki gen aksè nan depo backup la ta ka fè atak la. sèvè oubyen trafik. Objektif atak la ta ka pou mennen ankèt sou yon flit done, sa ki pèmèt ajans entèlijans yo evalye prezans dokiman enteresan nan depo backup la.
Pou eksplwate vilnerabilite a, atakè a dwe gen done li yo ajoute nan backup viktim nan oswa konnen ke yon dosye li konnen se nan backup la. Si backup la gen yon dosye ke atakè a konnen sou (pa egzanp, kèk sistèm tipik oswa kontni miltimedya), Lè sa a, pa jwenn aksè nan depo a chiffres, atakè a ka detèmine si gen lòt dosye ki enterese andedan.
Metòd la baze sou lefèt ke baze sou karakteristik sa yo nan konpresyon kontni, li posib detèmine paramèt yo nan blòk yo itilize lè divize kontni an. Pou detèmine paramèt sa yo, li ase pou defini 3 blòk chiffres ki gen done atakè a konnen.
Vilnerabilite a pa espesifik pou Restic epi li afekte lòt sistèm backup ki itilize teknik CDC (Content-Defined Chunking), tankou BorgBackup, Tarsnap, Bupstash ak Duplicacy. Nan Tarsnap, pwoblèm nan te fiks nan aktyalizasyon 1.0.41, nan BorgBackup yo ap travay sou yon ranje, ke yo gen entansyon enkli nan branch borg 2 la. Nan Bupstash, dènye chanjman an te 2 zan de sa, ak nan Duplicacy - 4 mwa de sa.
Anplis de sa, li te note ke nan sistèm ki itilize deduplication, si ou gen kapasite nan ajoute dosye pwòp ou a nan kopi backup la, ou ka fè li pi fasil epi detèmine prezans nan dosye yo ki enterese endirèkteman. Apre ou fin ajoute dosye a ke yo te tcheke, ou ka evalye chanjman nan gwosè depo - si dosye a deja nan depo a, Lè sa a, ajoute li ankò akòz deduplication pa pral mennen nan yon ogmantasyon apwopriye nan gwosè.
Anplis de sa nan elimine vilnerabilite a, Restic 0.18 ofri tou plizyè inovasyon:
- Te ajoute sipò eksperimantal pou depo sovgad frèt (done ki disponib pou minit oswa èdtan apre demann) ki sipòte pwotokòl S3 a, tankou Amazon S3 Glacier.
- Kòmandman chèk ak tag kounye a sipòte pwodiksyon JSON.
- Lè yo rasanble imaj pou Rejis Container GitHub la, yo te pran an konsiderasyon rekòmandasyon SLSA (Nivo chèn ekipman pou zafè lojisyèl).
- Te ajoute yon chwa metòd klasman pwodiksyon nan lòd ls la. Kòmandman find la pa fè klasman pa dat (dernye a pi ansyen).
- Li posib pou eskli dosye ki pi piti pase yon gwosè espesifye nan operasyon an remballage.
- Te ajoute yon anviwònman pou pèmèt/enfim rekiperasyon atribi dosye pwolonje.
- Te ajoute sipò pou OS DragonFlyBSD.
- Te ajoute sipò pou atribi dosye pwolonje sou sistèm kouri NetBSD 10+.
- Branch Restic 0.19.0 a pral retire sipò pou karakteristik eritaj ki pèmèt atravè paramèt deprecate-legacy-index, deprecate-s3-legacy-layout, explicit-s3-anonymous-auth ak safe-forget-keep-tags.
- Sipò pou vèsyon ki pi ansyen yo sispann. Windows и macOS, для работы теперь требуется как минимум Windows 10, Windows Server NAN oswa macOS 11. Прекращена поддержка версий TLS до 1.2.
Sous: opennet.ru
