Linuxのローカルバックアップをランサムウェアから分離する方法

debian 8.3 でBackintimeのローカル暗号化バックアップ機能を使用して、ファイルを外部ドライブにバックアップします。30分ごとに自動的にバックアップします。外付けドライブは常に接続されています。私はこのコンピューターの唯一のユーザーです。

最近、身代金の悪夢のような話をよく耳にします。バックアップ場所は常にアクセス可能であるため、予防策として、バックアップ場所を安全かつこのような攻撃から隔離する方法を考えています。

Backintimeを特別な「バックアップユーザー」またはrootとして実行し、「backup user」またはrootのみが書き込みアクセスできるバックアップロケーションを使用すると、これを実現できます。避けられない場合にのみrootを使用することをお勧めします。そのため、このジョブの「バックアップユーザー」を作成したいと思います。

この目的のためにファイルのアクセス許可を使用できるのか、それとももっと良い方法があるのでしょうか。

私の質問：

1. バックアップ場所を安全にするためにこれは良い考えですか？
2. 別のアカウントでコンピューターを同時に使用しているときに、「バックアップユーザー」としてBackintimeを自動的に実行するにはどうすればよいですか？
3. バックアップ場所に書き込みアクセス権を持つ唯一のユーザーとして「バックアップユーザー」を割り当てるにはどうすればよいですか？

1. 物理的に接続されていないか、通常はオンになっていないメディアにバックアップを保存します。

2. 定期的に交換される複数のバックアップメディア（ドライブ/テープ）があります。オフサイト（少なくとも数マイル/キロメートル離れた場所）に保管した場合のボーナスポイント。最低3台のドライブ/テープをお勧めします。1ユニットまたは2ユニットのみをオンサイトに保管してください。

3. バックアップディレクトリへの書き込みまたはアクセスの権限は、ルートアカウントに制限する必要があります。

4. 日常のユーザーアカウントにsudoアクセス許可を与えないでください。を介してシステム管理を行うには、2番目のユーザーレベルアカウントを使用しますsudo。特権を昇格する能力がない場合、だまされて特権を昇格させることはできません。

5. 使用していないときは、などのツールを使用してバックアップディレクトリのマウントを解除しますautofs。また、ファイルシステムがマウントされているかどうかを気にせずにドライブを取り外すことができるという利点もあります。このautofsツールは、バックアップディレクトリを自動マウントし、非アクティブな状態が数分続いた後にマウント解除するように構成できます。

6. たくさんのインクリメンタルを保存するのに効率的なバックアップツールを使用してください（Duplicity、borg-backup）。これにより、各ドライブに1年分のバックアップを保持できるようになり、イベント前の状態に復元できる可能性が広がります。