BorgBackup сервер на офшорном VPS

Borg существует с 2015 года как форк attic и за это время стал стандартом де-факто для бэкапов Linux-серверов и рабочих станций. Его сильные стороны - дедупликация на основе rolling hash, эффективное сжатие zstd, lz4 и zlib с настройкой уровня, шифрование AES-256-CTR с HMAC-SHA256 для аутентичности, и append-only режим, защищающий репозиторий от уничтожения скомпрометированным клиентом. Borg работает поверх SSH: клиент подключается к удалённому серверу, запускает там borg serve и общается с ним по специальному протоколу. Это означает, что VPS под Borg не нуждается в специальном демоне, достаточно установить пакет borgbackup из репозитория Debian, Ubuntu или AlmaLinux. Для дополнительной безопасности можно ограничить SSH-ключ командой borg serve --append-only --restrict-to-path /srv/borg, что не позволит даже скомпрометированному клиенту удалить чужие бэкапы. Anubiz Host предоставляет VPS с предустановленным Linux на выбор, готовый принять Borg за 10-15 минут.

rsync - простой инструмент, который копирует изменённые файлы целиком. Он не дедуплицирует, не шифрует на стороне сервера и не делает версионированные снапшоты. Подходит для зеркалирования каталогов, но не для серьёзного backup. Restic и Borg оба дают дедупликацию, шифрование и снапшоты, но различаются в деталях. Restic написан на Go, кросс-платформенный, поддерживает S3, REST-сервер, Azure, B2 и работает на Linux, MacOS, Windows. Borg написан на Python с критичными участками на C, работает только из Unix-подобных систем, и репозиторий доступен только по SSH или локальной файловой системе. Borg обычно немного быстрее Restic на больших репозиториях и тратит меньше памяти. Restic - универсальнее за счёт поддержки S3. Для классической схемы Linux-сервер плюс офшорный VPS Borg часто оказывается удобнее, потому что не требует разворачивать дополнительный REST-сервер: всё работает поверх обычного SSH с ключевой аутентификацией.

Главная угроза для удалённого backup-сервера - сценарий, при котором атакующий получает root на основной машине, читает файл с паролем Borg и удалёнными командами уничтожает удалённый репозиторий. Borg предусматривает несколько защит. Первая - append-only режим: клиент может только добавлять новые архивы, но не удалять старые. Удаление выполняется только с административной стороны сервера, либо периодической задачей на стороне VPS. Вторая - отдельный SSH-ключ для каждого клиента с принудительным запуском borg serve через ForceCommand в authorized_keys. Третья - изолированный пользователь на VPS с ограниченными правами на /srv/borg/repo. Четвёртая - физическое разделение операций бэкапа и retention: бэкап делает клиент в append-only режиме, а ротацию (borg prune) выполняет cron на самом VPS с отдельным ключом. Anubiz Host рекомендует именно эту схему: компрометация основной машины не приводит к потере истории бэкапов, а офшорная юрисдикция и анонимная регистрация защищают сам VPS от юридического давления.