Yedekleme amacıyla evde bir sunucu kurmak kötü bir fikir mi?

11

Bugün bir barındırma sağlayıcısı tarafından yandım, bir veri merkezi sorunu vardı ve onlar yedekleme yaptıklarını iddia ettiler, ancak yedekleri bozuldu, bu yüzden onlar tarafından barındırılan iki farklı sunucuda yedeklediğim bir web sitesini kaybettim. Her iki sunucu da etkilendi, bu yüzden veriler kayboldu. O BİR web sitesi ne yazık ki yerel olarak yedeklememişti bir web sitesi oldu.

Yani, küçük bir ucuz sunucu satın almayı düşünüyorum ve FTP aracılığıyla periyodik yedekleme yapmak için bazı sabit diskler.

Soru, FTP erişimine sahip sunucu ile aynı ağa / yönlendiriciye bağlı bilgisayarlarım için herhangi bir güvenlik tehdidi var mı?

Evde bir sunucunun periyodik olarak tüm müşterilerimin web sitelerinin yedeklerini alması makul bir fikir mi? Bu noktada, iddia ettiklerini yapamayan 3. parti çözümlerin çok sayıda hikayesi nedeniyle her şeyi kendim yapmak zorunda olduğumu hissediyorum.

linux  backup 
Darius
kaynak
13
Sürece hiçbir depolandıkları olsun veya kim onları yapar sen backup ve restore sınamak o zaman gerçekten yedekleri değildir.
user9517
Ev sunucunuzun bulut sunucusuna erişmesine ve yedeklemeleri almasına izin verin.
cornelinux
1
Burada iyi, temel en iyi uygulama sorusu olduğunu düşündüğümde, kapanabileceğini düşündüğüm sorudan bazı yabancı referansları kaldırdım . Birisi katılmazsa, düzenlemeleri ve / veya VTC'yi geri almaktan çekinmeyin. Ve geçerken, Iain'in yedekleri test etme hakkındaki yorumu , konuyla ilgili alacağınız en iyi pratik tavsiyenin en iyi parçası olduğunu düşünüyorum .
MadHatter

Yanıtlar:

12

Evde bir sunucunun periyodik olarak tüm müşterilerimin web sitelerinin yedeklerini alması makul bir fikir mi?

Evet, bazı önlemleri almanız koşuluyla

FTP erişimine sahip sunucu ile aynı ağa / yönlendiriciye bağlı bilgisayarlarım için herhangi bir güvenlik tehdidi var mı?

Evet, bazı önlemleri almazsanız

  1. Bulut sunucumun güvenliği ihlal edilirse ne olur? O zaman muhtemelen ev tabanlı yedek bilgisayarım da tehlikeye girecek çünkü bulut sunucusu ona bağlanabiliyor.
  2. Ev tabanlı yedekleme bilgisayarımın güvenliği ihlal edilirse ne olur? Neye erişimi var?

Bu nedenle, temel olarak her iki sistemin de tehlikeye girme riskini azaltmak ve aynı zamanda saldırganın her ikisini de / her ikisini de tehlikeye atmayı başarmaları durumunda ne gibi erişime sahip olacağını sınırlamak istersiniz.

Önlemler

  1. Kimlik bilgileri şifrelenmemiş olarak iletilebileceğinden, Linux kutusunda bir SSH sunucusu çalıştırabildiğinden ve dosyaları kullanarak bağlanıp aktarabildiğiniz için FTP'yi kullanmayın scp. Alternatif - Linux, Mac veya Windows üzerinde çalışan bir SFTP veya SCP tipi sunucu bulun.
  2. Yalnızca yedekleme dizinine scp erişimi ve yedeklemeyi göndermek için yalnızca yeterli erişime sahip sınırlı bir SSH hesabı kullanın.
  3. Kimlik doğrulaması için özel bir anahtar kullanın
  4. Yukarıdaki adımlarla, uzak bulut sunucunuz bozulursa ve özel anahtar çalınırsa, bir saldırgan yalnızca zaten erişime sahip oldukları bir sunucunun yedeğine erişebilir!
  5. NAT / bağlantı noktası yönlendirme ve DMZ özelliklerine sahip bir güvenlik duvarı çalıştırın (bilinen güvenlik açıkları olmayan güncel bir ürün yazılımı varsa ISS'nizin WiFi yönlendiricisi bile olabilir - bunu bir kez daha kontrol edin - bazı eski ISS yönlendiricileri hatalarla dolu)
  6. Ev tabanlı yedekleme bilgisayarınızı bir DMZ'ye yerleştirin. Bu şekilde diğer bilgisayarlarınızın hiçbirine kolayca erişemez ve bu nedenle tehlikeye girerse tehdidi önemli ölçüde azaltır. Dahili ev ağınızdan 22 numaralı bağlantı noktasını DMZ'ye iletebilir ve yönetim / scp amaçları için daha yüksek ayrıcalıklarla oturum açabilirsiniz.
  7. Genel IP'nizden SSH hizmetinize rastgele bir yüksek TCP bağlantı noktası (örn. 55134) iletmek için NAT / bağlantı noktası iletmeyi kullanın - bu, hizmeti daha az kolayca almanızı sağlar
  8. Yönlendirilen bağlantı noktasının yalnızca uzak bulut sunucunuz tarafından görülmesi için güvenlik duvarındaki erişimi kısıtlayın
  9. Yedek bilgisayarınıza hiçbir gizli veri, SSH özel anahtarı, şifre vb. Koymayın. Bu şekilde güvenliği ihlal edilirse, bir saldırganın neye erişimi olduğunu daha da azaltırsınız.
  10. Tüm sistemleri / hizmetleri güncel tutun - özellikle bulut sunucusunda ve yedek PC'de. Güvenlik açıkları her zaman keşfedilmektedir ve örneğin, temel erişimi kök düzeyi erişimine dönüştürmek için saldırganlar tarafından kolayca kolayca kullanılabilmektedir. (ör. https://dirtycow.ninja/ )

Bu liste ideal senaryodur ve riskleri düşünmenize yardımcı olmalıdır. İSS yönlendiricinizin DMZ özelliği yoksa ve alternatif bir güvenlik duvarı kurmak için yatırım yapmak istemiyorsanız, bir uzlaşmadan memnun olabilirsiniz (kişisel olarak bundan memnun olmazdım) - bu durumda ben ana bilgisayar tabanlı güvenlik duvarlarının tüm dahili ağ bilgisayarlarınızda etkin olmasını ve güçlü parolaların kullanılmasını sağlar, tüm paylaşımlar / hizmetler vb. için kimlik doğrulaması gerektirir.

Başka bir kullanıcı tarafından önerildiği gibi bir alternatif (burada biraz daha ayrıntılıdır), yedeklemeleri üretmek ve bunları kullanılabilir hale getirmek için bulut sunucunuza komut yazmak ve yedek PC'nizi yedekleri çekmek için SFTP veya SCP (SSH) üzerinden bağlanacak şekilde komut vermek olacaktır. .

Bu işe yarayabilir, ancak SSH / SFTP bağlantı noktasını kilitleyin, böylece yalnızca yedek PC'niz ona erişebilir, sınırlı bir erişim hesabı kullanabilir ve aynı önlemlerden bazılarını düşünebilir. Örneğin, yedek bilgisayarınız tehlikeye girerse? Ardından bulut sunucunuz da tehlikeye girer, vb.

bao7uo
kaynak
Önlemlerin büyük listesi, teşekkür ederim. Duymayı umduğum şeyler boyunca oldu. Bununla ilerleyecek.
Darius
Rica ederim. Başka bir şey düşünürsem, cevabı düzenleyeceğim ve size bildirmek için buraya yorum yapacağım. Ben profesyonel bir penetrasyon test cihazıyım, bu yüzden bir şey unuttuğumu fark etmem uzun sürmemeli!
bao7uo
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.