Bảo mật sao lưu ngoại vi, ngay cả trong trường hợp truy cập root của hacker

Tôi đang tìm cách để thực hiện một cách an toàn hơn để thực hiện sao lưu ngoại vi cũng sẽ bảo vệ dữ liệu của tôi trước tình huống tin tặc độc hại có quyền truy cập root vào máy chủ của tôi. Mặc dù khả năng xảy ra là nhỏ hơn các loại rủi ro khác nếu bảo mật SSH và mật khẩu được thiết lập đúng cách và hệ thống được cập nhật đúng cách, nhưng mức độ thiệt hại có thể được thực hiện vĩnh viễn là rất cao và do đó tôi 'Muốn tìm một giải pháp để hạn chế điều đó.

Tôi đã thử hai cách sao lưu ngoại vi:

• một gắn kết webdav gốc có thể ghi đơn giản (và được cấu hình trong fstab) trong đó dữ liệu được sao lưu được sao chép vào. Vấn đề : không thực sự là một bản sao lưu ngoại vi vì kết nối - và hơn thế nữa là truy cập vào vị trí ngoại vi liên tục bị mở như một thư mục trong hệ thống tệp. Điều này đủ bảo vệ chống lại nhiều loại tấn công nếu thú cưỡi có quyền truy cập hạn chế (quyền truy cập chỉ đọc root), nhưng không bảo vệ chống lại kẻ độc hại có quyền truy cập root.

• Sao lưu thông qua SSH với xác thực khóa. Vấn đề : kết nối với máy chủ ngoại vi đó có thể được thực hiện với khóa được lưu trữ trên máy chủ nếu người dùng độc hại có quyền truy cập root vào máy chủ.

Như một giải pháp tôi đang nghĩ về những cách tiềm năng này, nhưng tôi không biết làm thế nào và với cái gì:

• Sao lưu chỉ có thể được viết hoặc gắn vào đích nhưng không bị xóa.
• Việc sử dụng phần mềm sao lưu xử lý các bản sao lưu ngoại vi và không hỗ trợ xóa hàng loạt các bản sao lưu ngoại vi từ máy chủ đầu tiên.

Các giải pháp không thực sự thú vị trong tình huống của tôi:

• Một công việc sao lưu bổ sung trên máy chủ ngoại vi sẽ chuyển chúng đến một vị trí mà máy chủ đầu tiên không thể truy cập được (do giới hạn kỹ thuật).

Bất cứ ai có thể cho lời khuyên về cách thực hiện sao lưu ngoại vi thích hợp cho trường hợp của tôi?

Tất cả các đề xuất của bạn hiện có một điểm chung: nguồn dự phòng thực hiện sao lưu và có quyền truy cập vào đích sao lưu. Cho dù bạn gắn kết vị trí hoặc sử dụng các công cụ như SSH hoặc rsync, hệ thống nguồn bằng cách nào đó có quyền truy cập vào bản sao lưu. Do đó, một thỏa hiệp trên máy chủ cũng có thể thỏa hiệp các bản sao lưu của bạn.

Nếu giải pháp sao lưu có quyền truy cập vào máy chủ thì sao? Hệ thống sao lưu có thể thực hiện công việc của mình với quyền truy cập chỉ đọc , do đó, bất kỳ thỏa hiệp nào trên hệ thống sao lưu có thể sẽ không thỏa hiệp với máy chủ. Ngoài ra, hệ thống sao lưu có thể được dành riêng cho mục đích đó, làm cho nội dung của bản sao lưu trở thành vector tấn công duy nhất. Điều đó sẽ rất khó xảy ra và cần một cuộc tấn công thực sự tinh vi.

Để tránh ghi đè các bản sao lưu có nội dung bị giả mạo hoặc bị hư hỏng, hãy thực hiện sao lưu gia tăng cho phép bạn khôi phục bất kỳ trạng thái nào trước đó trong khoảng thời gian khôi phục được xác định.

Lưu trữ bất biến

Một lựa chọn tốt là làm cho bộ lưu trữ sao lưu của bạn trở nên bất biến, hoặc ít nhất là cung cấp phiên bản đáng tin cậy mang lại cho bạn sự bất biến hiệu quả. Để rõ ràng: phương tiện bất biến không thể thay đổi, hoặc vĩnh viễn.

Có nhiều dịch vụ có thể làm điều này cho bạn. AWS S3, BackBlaze B2 và tôi nghi ngờ Azure và Google đều cung cấp một dịch vụ tương tự. Bạn có thể có thể thiết lập một máy chủ để làm điều này, nhưng tôi không biết làm thế nào.

Khi bạn có kho lưu trữ được kiểm soát phiên bản / bất biến, bạn có thể khôi phục bản sao lưu của mình đến bất kỳ điểm nào, vì vậy nếu máy chủ của bạn bị xâm nhập, bạn vẫn có thể khôi phục như bất kỳ lúc nào.

* AWS S3 **

Tôi quen thuộc nhất với AWS S3. S3 cung cấp lưu trữ được mã hóa theo phiên bản, với độ bền cao.

S3 hỗ trợ phiên bản, mang đến cho bạn sự bất biến hiệu quả. Bạn có thể chọn sử dụng quy tắc vòng đời để xóa phiên bản cũ của tệp sau một khoảng thời gian bạn có thể định cấu hình. Bạn cũng có thể lưu trữ các phiên bản vào kho lạnh (kho lạnh sông băng), có giá khoảng $ 1 / TB / tháng.

Bạn có thể sử dụng lớp phân tầng lưu trữ thông minh để giảm chi phí. Tôi chọn sử dụng quy tắc vòng đời để di chuyển tất cả dữ liệu tĩnh sang lớp truy cập không thường xuyên, có hiệu suất bền và trung bình (nóng) nhưng không có khả năng mở rộng hoặc hiệu suất của tiêu chuẩn S3.

S3 sử dụng các chính sách và người dùng IAM (quản lý truy cập danh tính, tức là quản lý người dùng). Điều này cho phép bạn kiểm soát rất chi tiết những gì phần mềm sao lưu của bạn có thể làm với bộ nhớ của bạn. Bạn có thể cấp quyền cho người dùng sao lưu để tải lên nhưng từ chối cập nhật và xóa. Bạn cũng có thể yêu cầu xác thực đa yếu tố để xóa các tệp hoặc thậm chí cung cấp khóa đối tượng để các tệp không thể bị xóa.

Phần mềm được đề xuất

Tôi tạo bản sao lưu gia tăng bằng Restic . Restic tải các tệp mới lên vị trí lưu trữ của bạn. Tôi tin rằng (nhưng tôi có thể không chính xác) rằng nó tạo các tệp mới, nhưng trong hoạt động chung, nó không cập nhật hoặc xóa bất kỳ tệp nào.

Borg là một lựa chọn khác. Tôi đã từng sử dụng Borg, nhưng tôi thấy rằng với các bản sao lưu có kích thước vừa phải hàng trăm MB, nó đã tải lên hiệu quả tất cả dữ liệu của tôi mỗi ngày từ EC2 đến S3. Đối với tôi điều này không phải là gia tăng, vì vậy tôi đã ngừng sử dụng nó. Tôi đã tìm thấy tài liệu về điều này, nhưng không có liên kết.

Có hàng tá phần mềm có thể tải lên lưu trữ đám mây.

Bảo vệ lưu trữ

Với một số phần mềm sao lưu, bạn có thể thử cho phép người dùng IAM viết các tệp mới nhưng không cập nhật các tệp hiện có. Thật dễ dàng để thực hiện hạn chế này với AWS IAM, nhưng theo nhận xét bên dưới, Restic sẽ không hoạt động với các quyền đó. Bạn cũng có thể yêu cầu xác thực đa yếu tố để xóa các tệp khỏi S3.

Bạn có thể có một người dùng IAM khác, chạy từ PC của bạn, nơi thực hiện việc xóa sạch định kỳ của kho lưu trữ, loại bỏ các phiên bản theo chính sách bạn đặt.

Borg Backup hỗ trợ kho lưu trữ từ xa chỉ nối thêm . Bất kỳ sự thỏa hiệp nào của máy chủ được sao lưu chỉ có thể dẫn đến việc tạo các bản sao lưu mới, không ghi đè lên các bản sao lưu cũ.

Các giải pháp không thực sự thú vị trong tình huống của tôi:

Một công việc sao lưu bổ sung trên máy chủ ngoại vi sẽ chuyển chúng đến một vị trí mà máy chủ đầu tiên không thể truy cập được.

Vấn đề cơ bản là nếu bạn có thể truy cập từ xa các bản sao lưu của mình thì hacker cũng vậy .

(Do giới hạn kỹ thuật)

Những hạn chế kỹ thuật được thực hiện để được khắc phục.

Bất cứ ai có thể cho lời khuyên về cách thực hiện sao lưu ngoại vi thích hợp cho trường hợp của tôi?

Các ổ đĩa băng đã được cung cấp bảo vệ an toàn, ngoài trang web chống lại tất cả các loại thảm họa - bao gồm cả tin tặc - trong gần 70 năm.

Bạn có thể sử dụng các dịch vụ lưu trữ như AWS S3 (hoặc có thể tương đương với Google hoặc Azure), nơi bạn có thể cấp quyền PUT cho tài khoản gốc của mình cho nhóm của mình nhưng không được phép XÓA. Bằng cách đó, bạn có thể sử dụng mô hình đẩy và kẻ tấn công sẽ không thể xóa bản sao lưu.

Có nhiều biện pháp bảo mật khác mà bạn có thể thực hiện với AWS, như yêu cầu MFA thực hiện XÓA trên xô, nhưng cho phép PUT và GET mà không có MFA. Bằng cách đó, bạn có thể sao lưu dữ liệu của mình và truy xuất dữ liệu để khôi phục dịch vụ của mình mà không cần sử dụng thiết bị MFA, điều này có thể hữu ích trong trường hợp cực kỳ (và có thể quá mơ hồ để đề cập đến) khi truy cập thiết bị MFA có thể làm tổn hại đến nó.

Ngoài ra, một nhận xét ngoài phạm vi bạn có thể thấy thú vị / hữu ích, có một số cách để định cấu hình S3 và các dịch vụ tương tự để chuyển đổi dự phòng tự động trong trường hợp nguồn dữ liệu chính đang ngoại tuyến.

Sao lưu thông qua SSH với xác thực khóa. Vấn đề: kết nối với máy chủ ngoại vi đó có thể được thực hiện bằng khóa lưu trữ trên máy chủ nếu người dùng độc hại có quyền truy cập root vào máy chủ.

Bạn có thể sử dụng lệnh tùy chọn trong ủy quyền của bạn. Bạn sửa lệnh cho phép trong điều khiển từ xa.

Làm thế nào để thêm các lệnh trong ssh ủy quyền

Ngay cả khi kẻ tấn công phục hồi root đăng nhập, anh ta sẽ không thể làm bất cứ điều gì ngoài lệnh được xác định.

Một kỹ thuật bạn có thể thiết lập là sử dụng đồng bộ hóa giữa máy chủ của bạn và máy chủ sao lưu từ xa và để máy chủ sao lưu từ xa thực hiện các ảnh chụp nhanh hoặc bất cứ thứ gì ở phía cuối để phía máy chủ xóa không dẫn đến xóa trang web.