Thiết lập một máy chủ tại nhà cho mục đích sao lưu là một ý tưởng tồi?

11

Tôi đã bị đốt bởi một nhà cung cấp dịch vụ lưu trữ ngày hôm nay, họ gặp sự cố trung tâm dữ liệu và họ tuyên bố họ đã sao lưu, nhưng sao lưu của họ bị hỏng, vì vậy tôi đã mất một trang web mà tôi đã sao lưu trên hai máy chủ khác nhau được lưu trữ bởi họ. Cả hai máy chủ đều bị ảnh hưởng, vì vậy dữ liệu đã biến mất. Trang web ONE đó thật đáng buồn là một trang web mà tôi đã không sao lưu cục bộ.

Vì vậy, tôi đang nghĩ đến việc mua một máy chủ nhỏ giá rẻ và một số ổ cứng để thực hiện sao lưu định kỳ qua FTP.

Câu hỏi là, có mối đe dọa bảo mật nào đối với các máy tính của tôi được kết nối trên cùng một mạng / bộ định tuyến như máy chủ sẽ có quyền truy cập FTP không?

Nó thậm chí là một ý tưởng hợp lý để có một máy chủ ở nhà nhận sao lưu tất cả các trang web khách hàng của tôi theo định kỳ? Tại thời điểm này, tôi cảm thấy mình phải tự làm mọi thứ vì nhiều câu chuyện về giải pháp của bên thứ 3 không thực hiện được những gì họ yêu cầu.

linux  backup 
Bảo Bình
nguồn
13
Bất kể chúng được lưu trữ ở đâu, hoặc ai thực hiện chúng, trừ khi bạn kiểm tra các bản sao lưu và khôi phục thì chúng không thực sự là bản sao lưu.
dùng9517
Hãy để máy chủ nhà của bạn truy cập vào máy chủ đám mây và lấy các bản sao lưu.
cornelinux
1
Tôi đã xóa một số tài liệu tham khảo không liên quan khỏi câu hỏi mà tôi cảm thấy có thể khiến nó bị đóng lại, khi tôi nghĩ rằng có một câu hỏi thực hành tốt nhất , cốt lõi nhất ở đây. Nếu bất cứ ai không đồng ý, vui lòng hoàn nguyên các chỉnh sửa và / hoặc VTC. Và trong đi qua, tôi nghĩ rằng bình luận của Iain trên về kiểm tra sao lưu là mảnh tốt nhất duy nhất của lời khuyên tốt nhất-thực hành, bạn sẽ không bao giờ có được về đề tài này.
MadHatter

Câu trả lời:

12

Nó thậm chí là một ý tưởng hợp lý để có một máy chủ ở nhà nhận sao lưu tất cả các trang web khách hàng của tôi theo định kỳ?

Có, miễn là bạn tuân theo một số biện pháp phòng ngừa

Có bất kỳ mối đe dọa bảo mật nào đối với các máy tính của tôi được kết nối trên cùng một mạng / bộ định tuyến với máy chủ sẽ có quyền truy cập FTP không?

Có, nếu bạn không tuân theo một số biện pháp phòng ngừa

  1. Nếu máy chủ đám mây của tôi bị xâm nhập thì sao? Sau đó, có khả năng máy tính dự phòng tại nhà của tôi cũng sẽ bị xâm phạm vì máy chủ đám mây có thể kết nối với nó.
  2. Điều gì xảy ra nếu máy tính dự phòng tại nhà của tôi bị xâm nhập? Nó có quyền truy cập vào cái gì?

Vì vậy, về cơ bản, bạn muốn giảm rủi ro thỏa hiệp của một trong hai hệ thống, đồng thời hạn chế quyền truy cập của kẻ tấn công trong trường hợp chúng có thể thỏa hiệp hoặc cả hai.

Phòng ngừa

  1. Không sử dụng FTP vì thông tin đăng nhập có thể được truyền không được mã hóa, chạy máy chủ SSH trên hộp Linux và kết nối / truyền tệp bằng cách sử dụng scp. Thay thế - tìm máy chủ loại SFTP hoặc SCP chạy trên Linux, Mac hoặc Windows.
  2. Sử dụng tài khoản SSH giới hạn chỉ có quyền truy cập scp vào thư mục sao lưu và chỉ đủ quyền truy cập để gửi bản sao lưu.
  3. Sử dụng khóa riêng để xác thực
  4. Với các bước trên, nếu máy chủ đám mây từ xa của bạn bị xâm nhập và khóa riêng bị đánh cắp, thì kẻ tấn công sẽ chỉ có quyền truy cập vào bản sao lưu của máy chủ mà chúng đã có quyền truy cập!
  5. Chạy tường lửa có tính năng chuyển tiếp NAT / cổng và DMZ (thậm chí có thể là bộ định tuyến WiFi của ISP nếu nó có chương trình cơ sở cập nhật không có lỗ hổng đã biết - kiểm tra kỹ điều này - một số bộ định tuyến ISP cũ bị lỗi)
  6. Đặt máy tính dự phòng tại nhà của bạn trong DMZ. Bằng cách này, nó không dễ dàng truy cập vào bất kỳ máy tính nào khác của bạn và do đó giảm đáng kể mối đe dọa nếu bị xâm phạm. Bạn có thể chuyển tiếp cổng 22 từ mạng gia đình nội bộ của mình đến DMZ và đăng nhập với các đặc quyền cao hơn cho mục đích quản trị / scp.
  7. Sử dụng chuyển tiếp NAT / cổng để chuyển tiếp một cổng TCP cao ngẫu nhiên (ví dụ 55134) từ IP công cộng của bạn sang dịch vụ SSH của bạn - điều này sẽ giúp dịch vụ ít dễ dàng được chọn hơn
  8. Hạn chế quyền truy cập trên tường lửa để cổng chuyển tiếp chỉ hiển thị với máy chủ đám mây từ xa của bạn
  9. Không đặt bất kỳ dữ liệu bí mật, khóa riêng SSH, mật khẩu, v.v. trên máy tính dự phòng của bạn. Bằng cách này nếu nó bị xâm phạm, bạn sẽ giảm thêm những gì kẻ tấn công có quyền truy cập.
  10. Luôn cập nhật tất cả các hệ thống / dịch vụ - đặc biệt là trên máy chủ đám mây và PC dự phòng. Các lỗ hổng luôn được phát hiện và thường có thể dễ dàng bị kẻ tấn công khai thác, ví dụ để biến quyền truy cập cơ bản thành quyền truy cập cấp gốc. (ví dụ: https://dundredcow.ninja/ )

Danh sách này là kịch bản lý tưởng và sẽ giúp bạn suy nghĩ về những rủi ro. Nếu bộ định tuyến ISP của bạn không có tính năng DMZ và bạn không muốn đầu tư thiết lập tường lửa thay thế, thì bạn có thể hài lòng với một thỏa hiệp (cá nhân tôi sẽ không hài lòng với nó) - trong trường hợp đó tôi sẽ đảm bảo tường lửa dựa trên máy chủ hoạt động trên tất cả các PC mạng nội bộ của bạn và mật khẩu mạnh, yêu cầu xác thực cho tất cả các chia sẻ / dịch vụ, v.v.

Một cách khác, như được đề xuất bởi một người dùng khác (ở đây chi tiết hơn một chút) sẽ là kịch bản máy chủ đám mây của bạn để tạo các bản sao lưu và cung cấp chúng, và kịch bản PC dự phòng của bạn để kết nối thông qua SFTP hoặc SCP (SSH) để kéo các bản sao lưu .

Điều này có thể hoạt động tốt, nhưng khóa cổng SSH / SFTP để chỉ PC dự phòng của bạn có thể truy cập, sử dụng tài khoản truy cập hạn chế và suy nghĩ về một số biện pháp phòng ngừa tương tự. Ví dụ, nếu máy tính dự phòng của bạn bị xâm nhập thì sao? Sau đó, máy chủ đám mây của bạn cũng bị xâm phạm, v.v.

bao7uo
nguồn
Danh sách phòng ngừa tuyệt vời, cảm ơn bạn. Đó là dọc theo dòng của những gì tôi đã hy vọng nghe. Sẽ tiến về phía trước với điều này.
Darius
Không có gì. Nếu tôi nghĩ bất cứ điều gì khác, tôi sẽ chỉnh sửa câu trả lời và bình luận ở đây để cho bạn biết. Tôi là một người kiểm tra thâm nhập chuyên nghiệp vì vậy tôi không mất nhiều thời gian để nhận ra nếu tôi quên điều gì đó!
bao7uo
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.