Implements immutable backups using restic with S3-compatible storage and object locking for ransomware protection. Automates creation, integrity verification via restic check --read-data, retention policies, and restore tests with AWS S3, MinIO, Backblaze B2.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
- 建立具有密码完整性验证的抗勒索软件备份基础设施
Implements immutable restic backups on S3-compatible storage with object lock for ransomware protection. Automates integrity checks, retention policies, and restore testing.
Implements immutable backups using restic with S3-compatible storage and object lock for ransomware-resistant protection. Automates backup creation, integrity verification via restic check --read-data, retention policy, and restore testing for AWS S3, MinIO, Backblaze B2.
Designs 3-2-1-1-0 ransomware-resistant backup strategies with RPO/RTO goals, credential isolation, immutable storage, and automated restore testing for critical systems.
Share bugs, ideas, or general feedback.
不要将其用作唯一的备份解决方案,而不维护离线/气隙隔离的副本。对象锁定防止逻辑删除,但不防止物理存储故障。
在启用了对象锁定的 S3 兼容存储上创建加密的 restic 仓库。Restic 使用 AES-256-CTR 加密,配合 Poly1305-AES 进行认证,确保备份数据既保密又防篡改。
在备份桶上以合规模式(Compliance Mode)启用 S3 Object Lock,防止任何主体(包括 root)在保留期内删除或修改对象。将保留期设置为符合备份窗口要求(通常 30-90 天)。
使用 restic check --read-data 安排备份操作并进行备份后完整性验证,该命令下载并验证每个数据块的存储校验和。记录结果并对任何完整性失败发出告警。
定期从备份快照还原随机文件到临时位置,并与原始文件的校验和进行比对,以验证端到端备份完整性。记录还原时间用于 RTO 规划。
| 术语 | 定义 |
|---|---|
| Object Lock | 防止在指定保留期内删除或覆盖对象的 S3 功能 |
| 合规模式 | 即使是 root 账户在保留期到期前也无法删除对象的对象锁定模式 |
| 去重 | Restic 以内容寻址块存储数据,在所有快照间进行去重 |
| 3-2-1-1-0 | 3 份副本、2 种媒体类型、1 份异地、1 份不可变、0 个验证错误 |
备份验证报告
===========================
仓库:s3:s3.amazonaws.com/company-backups-immutable
快照数:45
总大小:2.3 TiB(去重前 8.7 TiB)
最后备份:2026-03-11T02:00:00Z
完整性检查:通过(所有数据包已验证)
对象锁定:合规模式,90 天保留期
还原测试:通过(15 个文件已验证)