バックアップのために自宅にサーバーをセットアップするのは悪い考えですか?

11

今日、ホスティングプロバイダーに火傷し、データセンターの問題があり、バックアップを行うと主張しましたが、バックアップが破損しているため、ホストしている2つの異なるサーバーでバックアップしたWebサイトを失いました。両方のサーバーが影響を受けたため、データは失われました。その1つのWebサイトは、残念ながら、ローカルにバックアップしていなかったWebサイトでした。

ですから、FTP経由で定期的なバックアップを行うために、小さな安価なサーバーといくつかのハードドライブを購入することを考えています。

問題は、FTPアクセスを持つサーバーと同じネットワーク/ルーターに接続されているコンピューターにセキュリティ上の脅威があるかどうかです。

自宅のサーバーにすべてのクライアントWebサイトのバックアップを定期的に取得させるのは理にかなっていますか?現時点では、サードパーティのソリューションが主張することを実行できなかったという多くの話があるため、自分ですべてを行う必要があると感じています。

linux  backup 
ダリウス
ソース
13
バックアップやリストアテストしない限り、それらがどこに保存されていても、誰がそれらを実行しても、実際にはバックアップではありません。
user9517
ホームサーバーからクラウドサーバーにアクセスして、バックアップを取得します。
cornelinux
1
ここには、コアとなるベストプラクティスの良い質問があると思うとき、それを閉じてしまうかもしれないと感じた質問から、外部の参照をいくつか削除しました。意見が一致しない場合は、編集やVTCを元に戻してください。ついでながら、バックアップのテストに関する上記のIainのコメントは、このテーマに関してこれまでに得たベストプラクティスアドバイスの中で唯一の最良の部分だと思います。
MadHatter

回答:

12

自宅のサーバーにすべてのクライアントWebサイトのバックアップを定期的に取得させるのは理にかなっていますか?

はい、いくつかの予防措置に従えば

FTPアクセスを持つサーバーと同じネットワーク/ルーターに接続されているコンピューターにセキュリティ上の脅威はありますか?

はい、いくつかの予防措置に従わない場合

  1. クラウドサーバーが侵害された場合はどうなりますか?クラウドサーバーが接続できるため、自宅のバックアップPCも危険にさらされる可能性があります。
  2. ホームベースのバックアップPCが危険にさらされた場合はどうなりますか?何にアクセスできますか?

そのため、基本的にどちらかのシステムが侵害されるリスクを減らし、一方、攻撃者がいずれか/両方を侵害した場合にアクセス権を制限する必要があります。

注意事項

  1. 資格情報を暗号化せずに送信し、LinuxボックスでSSHサーバーを実行し、を使用してファイルを接続/転送できるため、FTPを使用しないでくださいscp。代替-Linux、Mac、またはWindowsで実行されるSFTPまたはSCPタイプのサーバーを見つけます。
  2. バックアップディレクトリへのscpアクセスのみを持ち、バックアップを送信するのに十分なアクセス権しか持たない制限されたSSHアカウントを使用します。
  3. 認証に秘密鍵を使用する
  4. 上記の手順を使用して、リモートクラウドサーバーが侵入され、秘密キーが盗まれた場合、攻撃者は既にアクセスしているサーバーのバックアップにのみアクセスできます!
  5. NAT /ポートフォワーディングとDMZ機能を備えたファイアウォールを実行します(既知の脆弱性のない最新のファームウェアがある場合はISPのWiFiルーターである可能性があります-これを再確認してください-古いISPルーターにはバグがあります)
  6. ホームベースのバックアップコンピューターをDMZに配置します。この方法では、他のコンピューターに簡単にアクセスできないため、侵害された場合の脅威が劇的に減少します。内部ホームネットワークからDMZにポート22を転送し、管理/ scpの目的でより高い権限でログオンできます。
  7. NAT /ポートフォワーディングを使用して、ランダムに高いTCPポート(55134など)をパブリックIPからSSHサービスに転送します-これにより、サービスが簡単に取得されなくなります
  8. 転送されたポートがリモートクラウドサーバーにのみ表示されるように、ファイアウォールのアクセスを制限します
  9. バックアップコンピューターに機密データ、SSH秘密キー、パスワードなどを置かないでください。これにより、侵害された場合、攻撃者がアクセスできるものをさらに減らすことができます。
  10. 特にクラウドサーバーとバックアップPCで、すべてのシステム/サービスを最新の状態に保ちます。脆弱性は常に発見されており、基本的なアクセスをルートレベルのアクセスに変更するなど、攻撃者によって簡単に悪用されることがよくあります。(例:https : //dirtycow.ninja/

このリストは理想的なシナリオであり、リスクについて考えるのに役立ちます。ISPルーターにDMZ機能がなく、代替ファイアウォールのセットアップに投資したくない場合、妥協案に満足するかもしれません(私は個人的には満足しません)-その場合、私はホストベースのファイアウォールがすべての内部ネットワークPCでアクティブになり、強力なパスワードがすべての共有/サービスなどの認証を必要とすることを保証します。

別のユーザーが提案する代替案(詳細はこちら)は、クラウドサーバーのスクリプトを作成してバックアップを作成して使用可能にし、バックアップPCのスクリプトを作成してSFTPまたはSCP(SSH)経由で接続し、バックアップを取得することです。

これはうまく機能しますが、SSH / SFTPポートをロックダウンして、バックアップPCのみがアクセスできるようにし、制限されたアクセスアカウントを使用し、同じ予防措置について考えます。たとえば、バックアップPCが危険にさらされた場合はどうなりますか?その後、クラウドサーバーも侵害されます。

bao7uo
ソース
予防策の素晴らしいリスト、ありがとう。それは私が聞きたいと思っていたものの線に沿っていた。これで前進します。
ダリウス
どういたしまして。他に何か考えたら、ここで答えとコメントを編集してお知らせします。私はプロのペネトレーションテスターですので、何かを忘れてしまったかどうかを気づくのに長い時間はかかりません!
bao7uo
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.