Hacker kök erişimi durumunda bile site dışında güvenli bir yedekleme yapın

Verilerimi, kötü niyetli bir bilgisayar korsanının sunucuma kök erişimi sağladığı duruma karşı da koruyacak, site dışında yedekleme yapmanın daha güvenli bir yolunu uygulamanın bir yolunu arıyorum. SSH ve parola güvenliği uygun bir şekilde ayarlanmışsa ve sistem güncel tutulursa, bu olma ihtimali diğer risk türlerinden daha küçük olsa da, kalıcı olarak yapılabilecek hasar miktarı gerçekten çok yüksek Bunu sınırlayacak bir çözüm bulmak istiyorum.

Site dışı yedeklemelerin iki yolunu zaten denedim:

• yedeklenmiş verilerin üzerine kopyalandığı, basit bir root-writable webdav mount (ve fstab ile konfigüre edilmiştir). Sorun : gerçekten bir site dışı yedekleme değil, çünkü harici siteye bağlantı - ve ayrıca erişim - dosya sisteminde sürekli bir klasör olarak açık bırakılıyor. Bu, bağlanma sınırlı erişim ayrıcalıklarına sahipse (salt okunur root erişimi), ancak root erişimi olan kötü niyetli bir kişiye karşı koruma sağlamazsa, birçok saldırı türüne karşı yeterli koruma sağlar.

• Anahtar kimlik doğrulaması ile SSH üzerinden Borg yedekleme. Sorun : Kötü niyetli kullanıcının ana bilgisayara kök erişimi varsa, bu dış sunucuya bağlantı ana bilgisayarda depolanan anahtarla yapılabilir.

Bir çözüm olarak şu potansiyel yolları düşünüyorum, ama nasıl ve ne ile bilmiyorum:

• Yedekler yalnızca hedefe yazılabilir veya eklenebilir ancak silinemez.
• Şirket dışı yedeklemeleri işleyen ve şirket dışı yedeklemelerin ilk ana bilgisayardan toplu olarak silinmesini desteklemeyen yedekleme yazılımının kullanılması.

Durumumda gerçekten ilginç olmayan çözümler:

• Site dışı ana bilgisayarda, ilk ana bilgisayar tarafından erişilemeyen bir yere (teknik sınırlamalar nedeniyle) aktarılan ek bir yedekleme işi.

Birisi benim durumum için uygun bir site dışı yedeğin nasıl uygulanacağı konusunda tavsiyede bulunabilir mi?

Tüm önerilerinizin şu anda ortak bir özelliği var: yedekleme kaynağı yedekleme yapıyor ve yedekleme hedefine erişebiliyor. Konumu monte etseniz veya SSH veya rsync gibi araçlar kullansanız da, kaynak sistem bir şekilde yedeklemeye erişebilir. Bu nedenle, sunucuda bir uzlaşma yedeklemelerinizi de tehlikeye atabilir.

Ya yedekleme çözümü bunun yerine sunucuya erişebiliyorsa? Yedekleme sistemi işini salt okunur erişimle yapabilir, bu nedenle yedekleme sistemindeki herhangi bir uzlaşma muhtemelen sunucuyu tehlikeye atmaz. Ayrıca, yedekleme sistemi tek başına bu amaç için tahsis edilebilir, bu da yedeğin içeriğini tek saldırı vektörü yapar. Bu pek olası değildir ve gerçekten karmaşık bir saldırıya ihtiyaç duyar.

Değiştirilmiş veya hasar görmüş içeriğe sahip yedeklerin üzerine yazılmasını önlemek için, tanımlanan geri yükleme süresi içinde önceki durumları geri yüklemenizi sağlayan artımlı yedeklemeler yapın.

Değişmez depolama

İyi bir seçenek, yedekleme depolama alanınızı değişmez kılmak veya en azından size etkili bir şekilde değişmezlik sağlayan güvenilir sürümler sağlamaktır. Açık olması: değişmez demek değiştirilemez veya kalıcı demektir.

Bunu sizin için yapabilecek çok sayıda servis var. AWS S3, BackBlaze B2 ve Azure ve Google'ın benzer hizmetler sunduğundan şüpheleniyorum. Muhtemelen bunu yapmak için bir sunucu ayarlayabilirsin, ama nasıl emin değilim.

Değişmez / sürüm kontrollü bir deponuz olduğunda, yedeklemenizi herhangi bir noktaya geri yükleyebilirsiniz, böylece ana makineniz tehlikeye atılırsa, istediğiniz zaman olduğu gibi geri yükleyebilirsiniz.

* AWS S3 **

Ben en çok AWS S3'e aşinayım. S3, yüksek dayanıklılık düzeyine sahip sürümlü, şifreli depolama sağlar.

S3, size etkili bir değişkenlik kazandıran sürümleri destekler. Yapılandırabileceğiniz bir sürenin ardından dosyaların eski sürümlerini silmek için yaşam döngüsü kurallarını kullanmayı seçebilirsiniz. Ayrıca sürümleri yaklaşık 1 $ / TB / ay tutarında olan soğuk depolamaya (buzul soğuk arşivi) arşivleyebilirsiniz.

Maliyetleri düşürmek için akıllı depolama katman sınıfını kullanabilirsiniz. Tüm statik verileri, dayanıklı ve orta (sıcak) performansta olan ancak S3 standardının ölçeklenebilirliğine veya performansına sahip olmayan nadir erişim sınıfına taşımak için bir yaşam döngüsü kuralı kullanmayı tercih ediyorum.

S3, IAM (kimlik erişim yönetimi, yani kullanıcı yönetimi) kullanıcıları ve politikalarını kullanır. Bu, yedekleme yazılımınızın depolama alanı ile neler yapabileceğini çok ayrıntılı bir şekilde kontrol etmenizi sağlar. Yedekleme kullanıcısına yüklemeler için izin verebilir, ancak güncelleme ve silme işlemini reddedebilirsiniz. Ayrıca, dosyaları silmek için çok faktörlü kimlik doğrulaması gerekebilir veya dosyaların silinmemesi için bir nesne kilidi de sağlayabilirsiniz .

Önerilen Yazılım

Restic kullanarak artımlı yedeklemeler oluşturuyorum . Restic, yeni dosyaları depolama alanınıza yükler. Yeni dosyalar oluşturduğuna (ancak hatalı olabileceğime inanıyorum), ancak genel operasyonda hiçbir dosyayı güncellemiyor veya silmiyor.

Borg başka bir seçenektir. Borg'u kullanırdım, ancak orta büyüklükteki yüzlerce MB yedeklemem ile tüm verilerimi EC2'den S3'e kadar her gün etkili bir şekilde yüklediğimi öğrendim. Bana göre bu artan değil, bu yüzden kullanmayı bıraktım. Bununla ilgili belgeleri buldum, ancak bağlantıya sahip değilim.

Bulut depolama alanına yükleyebileceğiniz düzinelerce yazılım parçası var.

Korumalı Depolama

Bazı yedekleme yazılımlarıyla, IAM kullanıcısına yeni dosyalar yazma izni vermeyi deneyebilir, ancak varolan dosyaları güncelleme. Bu kısıtlamayı AWS IAM ile yapmak kolaydır, ancak aşağıdaki yoruma göre Restic bu izinlerle çalışmayacaktır. S3'ten dosya silmek için gereken çok faktörlü kimlik doğrulamanız da olabilir.

Belirlediğiniz politikaya göre sürümleri atarak, arşivin periyodik temizliğini yapan PC'nizden kaçan başka bir IAM kullanıcısı olabilir.

Borg Backup, yalnızca ekli uzak havuzları destekler . Yedeklenen sunucunun uzlaşması, yalnızca eski olanların üzerine yazmamakla birlikte yalnızca yeni yedekler oluşturmakla sonuçlanabilir.

Durumumda gerçekten ilginç olmayan çözümler:

Harici ana bilgisayarda, onları ilk ana bilgisayar tarafından erişilemeyen bir yere aktaran ekstra bir yedekleme işi.

Temel sorun şu ki, yedeklerinize uzaktan erişebiliyorsanız , bilgisayar korsanı da olabilir .

(Teknik sınırlama nedeniyle)

Teknik sınırlamaların üstesinden gelmek için yapılır.

Birisi benim durumum için uygun bir site dışı yedeğin nasıl uygulanacağı konusunda tavsiyede bulunabilir mi?

Teyp sürücüleri , neredeyse 70 yıldır, bilgisayar korsanları da dahil olmak üzere her türlü felakete karşı güvenli ve yerinde koruma sağlıyor.

Kök hesabınıza PUT izinlerini kovunuza verebileceğiniz ancak DELETE izinlerini veremediğiniz AWS S3 (veya muhtemelen Google’ın veya Azure’nin eşdeğeri) gibi depolama hizmetlerini kullanabilirsiniz. Bu şekilde, bir push modeli kullanabilirsiniz; saldırgan yedeklemeyi silemez.

MFA'nın kovada DELETE'lerini gerçekleştirmesini istemek gibi, ancak MFA'sız PUT'lara ve GET'lere izin vermek gibi AWS ile alabileceğiniz güvenlik önlemleri vardır. Bu şekilde, MFA cihazınızı kullanmadan hizmetlerinizi geri yüklemek için hem verilerinizi yedekleyebilir hem de geri alabilirsiniz; bu, MFA cihazına erişimin tehlikeye girebileceği bazı aşırı (ve muhtemelen çok da belirsiz bile) bir durumda yararlı olabilir.

Ayrıca, ilginç / faydalı bulabileceğiniz kapsam dışı bir yorum, ana veri kaynağının çevrimdışı olması durumunda S3 ve benzer hizmetlerin otomatik yerine çalışma için yapılandırılmasının birkaç yolu vardır.

Anahtar kimlik doğrulaması ile SSH üzerinden Borg yedekleme. Sorun: Kötü niyetli kullanıcının ana bilgisayara kök erişimi varsa, bu dış sunucuya bağlantı ana bilgisayarda depolanan anahtarla yapılabilir.

Yetkili komutunuzda seçenek komutunu kullanabilirsiniz. Uzaktan kumandada izin verilen komutu düzeltirsiniz.

ssh yetkili_düğmesine komutlar nasıl eklenir

Bir saldırgan giriş kökünü kurtarsa ​​bile, tanımlanmış komuttan başka bir şey yapamaz.

Ayarlayabileceğiniz bir teknik, sunucunuz ve bir uzak yedekleme sunucusu arasında senkronizasyon kullanmak ve uzak yedekleme sunucusunun anlık görüntüleri ya da herhangi bir şeyini yapmasına izin vermek, böylece sunucu tarafının silinmesi, site dışında silinmesine neden olmaz.