En el mundo de la administración de sistemas, existen dos tipos de personas: los que ya han perdido datos y los que los van a perder.
Como administradores de sistemas GNU/Linux, a menudo nos obsesionamos con el uptime, el rendimiento o la seguridad perimetral. Pero, ¿qué pasa cuando el disco falla, cuando un rm -rf se escapa o cuando un ransomware cifra el servidor? Ahí es donde entra la verdadera red de seguridad: La Estrategia de Backup.
Hoy en LibreTICs vamos a desglosar cómo diseñar una política de respaldos a prueba de balas.
1. La Santísima Trinidad: ¿Qué debemos respaldar?
No basta con copiar el /home. Un backup completo debe considerar tres pilares:
- Data (Datos): Es la carne del servidor. Bases de datos (MySQL/PostgreSQL), archivos de usuario, sitios web en /var/www. Tip: Nunca copies archivos de base de datos "en caliente" a nivel de sistema de archivos; usa mysqldump o pg_dump primero.
- Configuraciones (/etc, /usr/local/etc): Levantar un servicio es fácil; ajustarlo para que funcione como necesitas toma horas. Perder tu nginx.conf o tus reglas de iptables/nftables es una pesadilla.
- Logs (/var/log): A menudo olvidados. Si sufres una intrusión y borran el servidor, necesitarás los logs antiguos para el análisis forense y saber qué pasó.
2. Estrategias de Copia: No reinventes la rueda
Dependiendo del tamaño de tu infraestructura y ventana de tiempo, debes elegir:
- Backup Total: Copia todo cada vez. Es lento y ocupa espacio, pero la restauración es rápida.
- Incremental: Copia solo lo que cambió desde el último backup. Ahorra mucho espacio, pero restaurar requiere reconstruir la cadena de copias.
- Snapshots: Si usas sistemas de archivos modernos como ZFS o Btrfs, o volúmenes LVM, las instantáneas son casi mágicas. Son inmediatas y permiten volver atrás en el tiempo en segundos.
3. El Destino Importa: Fiabilidad y la Regla 3-2-1
Aquí es donde vi a muchos fallar. Un pendrive USB conectado al mismo servidor no es un backup. Es una ilusión.
Para garantizar la supervivencia de los datos, aplica la Regla 3-2-1:
- 3 copias de los datos (producción + 2 backups).
- 2 soportes diferentes (ej. Disco duro local, NAS).
- 1 copia fuera del sitio (Offsite).
Lugares fiables:
- Un servidor de almacenamiento dedicado (NAS) en otra sala.
- Object Storage en la nube (AWS S3, MinIO, Backblaze).
- Otro servidor Linux en un datacenter geográficamente distinto (usando rsync o scp).
4. Eficiencia y Seguridad: Comprimir y Cifrar
El almacenamiento cuesta dinero y el ancho de banda es finito.
- Compresión: Herramientas como gzip, bzip2 o el moderno zstd (Zstandard) son obligatorias para reducir el tamaño de los volcados de texto o logs.
- Cifrado: Si tu backup sale de tu servidor (a la nube o un NAS compartido), debe ir cifrado. Si alguien roba tu backup, se lleva todos los secretos de tu empresa. Herramientas como GPG o soluciones integradas como BorgBackup o Restic cifran desde el origen.
5. Ciclo de Vida: Rotación y Automatización
Un backup manual es un backup que se olvidará.
- Recurrencia: Usa cron o systemd timers para automatizar. Nadie debería ejecutar el script de backup a mano.
- Políticas de Rotación (Retention Policy): No puedes guardar todo para siempre. Implementa una política GFS (Grandfather-Father-Son):
- Mantener 7 copias diarias.
- Mantener 4 copias semanales.
- Mantener 12 copias mensuales.
- Borrar automáticamente lo más antiguo.
6. La Prueba de Fuego: Restauración
Dejé esto para el final porque es lo más crítico. Un backup no verificado es como el gato de Schrödinger: no sabes si está vivo o muerto hasta que intentas restaurarlo.
He visto administradores con terabytes de backups que, al momento del desastre, descubren que los archivos estaban corruptos o vacíos.
- Programa simulacros de desastre ("Drill").
- Intenta restaurar un archivo aleatorio cada semana.
- Intenta levantar el servicio completo en una máquina virtual aislada una vez al mes.
Conclusión
Implementar un sistema de backups robusto con redundancia, cifrado y políticas de rotación puede parecer trabajo extra, pero es lo único que te permitirá dormir tranquilo cuando el hardware falle.
