Duplicati сервер: офшорный backup для Windows, MacOS и Linux

Duplicati написан на C# и работает кросс-платформенно через Mono или .NET. Главное отличие от Borg и Restic - наличие удобного веб-интерфейса. Пользователь без опыта работы с командной строкой может настроить регулярные бэкапы за 10 минут через браузер: выбрать папки, указать target, задать пароль шифрования и расписание. Duplicati поддерживает огромное количество backup-target: локальные диски, SFTP, FTP, WebDAV, Backblaze B2, Amazon S3, MinIO, Wasabi, Azure Blob, Google Drive, Dropbox, OneDrive, OpenStack Swift и многие другие. Это даёт большую гибкость: один и тот же агент Duplicati может писать бэкапы и в офшорный VPS, и в облачное S3-хранилище для второй копии. Шифрование AES-256 выполняется на клиенте до загрузки в target, поэтому target видит только зашифрованные блобы. Дедупликация и сжатие также работают на клиенте. На офшорном VPS остаётся только хранить эти зашифрованные блобы и предоставлять к ним доступ по SFTP или S3.

Самая простая схема - SFTP-target. На VPS создаётся отдельный пользователь backup с домашним каталогом /home/backup/duplicati и ключевой аутентификацией. На клиенте в Duplicati указывается ssh-target с этим пользователем, ключом и каталогом. Если планируется несколько клиентов, для каждого выделяется свой пользователь и подкаталог, что предотвращает их взаимное чтение и запись. Альтернативный вариант - поднять MinIO на VPS и использовать S3-target в Duplicati. Это даёт совместимость с любыми S3-клиентами и удобную настройку через AccessKey/SecretKey. Для дополнительной безопасности рекомендуется поставить fail2ban на SSH и периодически проверять журнал auth.log на подозрительные попытки входа. Anubiz Host даёт NVMe-диски и безлимитный трафик, поэтому первичный полный бэкап Windows-системы объёмом несколько сотен ГБ загружается за несколько часов и не упирается в квоту по трафику.

В настройках задания бэкапа Duplicati важно установить уникальный длинный пароль шифрования и сохранить его отдельно от учётной записи Duplicati. Если пароль теряется, восстановить данные невозможно. Retention настраивается через политику Smart Backup Retention или произвольное правило: например, хранить ежедневные снапшоты за 14 дней, еженедельные за 8 недель и ежемесячные за 12 месяцев. Duplicati автоматически удаляет устаревшие версии и упаковывает дельты в новые блок-файлы для эффективного хранения. Регулярная проверка целостности (Test backup) запускается раз в неделю или месяц и читает случайные блоки с target, проверяя соответствие контрольным суммам. Эта проверка критична: она своевременно обнаруживает повреждение блок-файлов из-за сбоя диска или сетевого глитча. На NVMe-дисках Anubiz Host повреждения крайне редки благодаря ECC и регулярному scrubbing, но дисциплина проверок остаётся обязательной для любой backup-системы.