Einen Server zu Hause für Sicherungszwecke einrichten eine schlechte Idee?


11

Ich wurde heute von einem Hosting-Anbieter verbrannt, sie hatten ein Problem mit dem Rechenzentrum und sie behaupteten, sie machten Backups, aber ihr Backup war beschädigt, sodass ich eine Website verlor, die ich auf zwei verschiedenen von ihnen gehosteten Servern gesichert hatte. Beide Server waren betroffen, so dass die Daten weg waren. Diese EINE Website war leider eine Website, die ich nicht lokal gesichert hatte.

Ich denke also darüber nach, einen kleinen billigen Server und einige Festplatten zu kaufen, um regelmäßige Backups über FTP durchzuführen.

Die Frage ist, ob es eine Sicherheitsbedrohung für meine Computer gibt, die mit demselben Netzwerk / Router verbunden sind wie der Server, der über FTP-Zugriff verfügt.

Ist es überhaupt eine vernünftige Idee, einen Server zu Hause zu haben, der regelmäßig Backups aller Websites meiner Kunden abruft? An diesem Punkt habe ich das Gefühl, dass ich alles selbst tun muss, da zahlreiche Geschichten über Lösungen von Drittanbietern nicht das tun, was sie behaupten.


13
Egal wo sie gespeichert sind oder wer sie ausführt, es sei denn, Sie testen Backups und stellen sie wieder her, dann handelt es sich nicht wirklich um Backups.
user9517

Lassen Sie Ihren Heimserver auf den Cloud-Server zugreifen und die Backups abrufen.
Cornelinux

1
Ich habe einige irrelevante Verweise aus der Frage entfernt, von denen ich dachte, dass sie geschlossen werden könnten, wenn ich denke, dass es hier eine gute, zentrale Best-Practice- Frage gibt. Wenn jemand anderer Meinung ist, können Sie die Änderungen und / oder VTC rückgängig machen. Nebenbei denke ich, dass Iains Kommentar zum Testen von Backups der beste Ratschlag für bewährte Verfahren ist, den Sie jemals zu diesem Thema erhalten werden.
MadHatter

Antworten:


12

Ist es überhaupt eine vernünftige Idee, einen Server zu Hause zu haben, der regelmäßig Backups aller Websites meiner Kunden abruft?

Ja, vorausgesetzt, Sie befolgen einige Vorsichtsmaßnahmen

Gibt es eine Sicherheitsbedrohung für meine Computer, die im selben Netzwerk / Router wie der Server mit FTP-Zugriff verbunden sind?

Ja, wenn Sie einige Vorsichtsmaßnahmen nicht befolgen

  1. Was passiert, wenn mein Cloud-Server kompromittiert wird? Dann ist es wahrscheinlich, dass mein Backup-PC zu Hause ebenfalls gefährdet ist, da der Cloud-Server eine Verbindung dazu herstellen kann.
  2. Was ist, wenn mein Heim-Backup-PC kompromittiert ist? Worauf hat es Zugriff?

Sie möchten also grundsätzlich das Risiko einer Gefährdung beider Systeme verringern und gleichzeitig den Zugriff eines Angreifers einschränken, falls er es schafft, eine oder beide zu gefährden.

Vorsichtsmaßnahmen

  1. Verwenden Sie kein FTP, da Anmeldeinformationen unverschlüsselt übertragen werden können, führen Sie einen SSH-Server auf einer Linux-Box aus und verbinden / übertragen Sie Dateien mit scp. Alternative - Suchen Sie einen SFTP- oder SCP-Server, der unter Linux, Mac oder Windows ausgeführt wird.
  2. Verwenden Sie ein eingeschränktes SSH-Konto, das nur SCP-Zugriff auf das Sicherungsverzeichnis hat und nur über genügend Zugriff verfügt, um die Sicherung zu senden.
  3. Verwenden Sie zur Authentifizierung einen privaten Schlüssel
  4. Wenn mit den oben genannten Schritten in Ihren Remote-Cloud-Server eingebrochen und der private Schlüssel gestohlen wird, erhält ein Angreifer nur Zugriff auf eine Sicherung eines Servers, auf den er bereits Zugriff hat!
  5. Führen Sie eine Firewall mit NAT / Port-Weiterleitung und DMZ-Funktionen aus (könnte sogar der WLAN-Router Ihres Internetdienstanbieters sein, wenn er über eine aktuelle Firmware ohne bekannte Sicherheitslücken verfügt - überprüfen Sie dies noch einmal - einige ältere Internetdienstanbieter sind mit Fehlern behaftet).
  6. Platzieren Sie Ihren Heim-Backup-Computer in einer DMZ. Auf diese Weise erhält es keinen einfachen Zugriff auf einen Ihrer anderen Computer und reduziert daher die Bedrohung drastisch, wenn sie kompromittiert wird. Sie können Port 22 von Ihrem internen Heimnetzwerk an die DMZ weiterleiten und sich mit höheren Berechtigungen für Administrations- / SCP-Zwecke anmelden.
  7. Verwenden Sie die NAT / Port-Weiterleitung, um einen zufälligen hohen TCP-Port (z. B. 55134) von Ihrer öffentlichen IP an Ihren SSH-Dienst weiterzuleiten. Dadurch wird der Dienst weniger leicht abgerufen
  8. Beschränken Sie den Zugriff auf die Firewall so, dass der weitergeleitete Port nur für Ihren Remote-Cloud-Server sichtbar ist
  9. Legen Sie keine vertraulichen Daten, privaten SSH-Schlüssel, Kennwörter usw. usw. auf Ihrem Sicherungscomputer ab. Auf diese Weise reduzieren Sie, wenn es kompromittiert wird, den Zugriff eines Angreifers weiter.
  10. Halten Sie alle Systeme / Dienste auf dem neuesten Stand - insbesondere auf dem Cloud-Server und dem Backup-PC. Sicherheitslücken werden immer wieder entdeckt und können von Angreifern häufig leicht ausgenutzt werden, um beispielsweise den Basiszugriff in Root-Zugriff umzuwandeln. (zB https://dirtycow.ninja/ )

Diese Liste ist das ideale Szenario und soll Ihnen helfen, über die Risiken nachzudenken. Wenn Ihr ISP-Router keine DMZ-Funktion hat und Sie nicht in die Einrichtung einer alternativen Firewall investieren möchten, sind Sie möglicherweise mit einem Kompromiss zufrieden (ich persönlich wäre damit nicht zufrieden) - in diesem Fall ich würde sicherstellen, dass hostbasierte Firewalls auf allen Ihren internen Netzwerk-PCs aktiv sind und sichere Kennwörter eine Authentifizierung für alle Freigaben / Dienste usw. erfordern.

Eine Alternative, wie von einem anderen Benutzer vorgeschlagen (hier etwas ausführlicher), besteht darin, Ihren Cloud-Server zu skripten, um die Backups zu erstellen und verfügbar zu machen, und Ihren Backup-PC so zu skripten, dass eine Verbindung über SFTP oder SCP (SSH) hergestellt wird, um die Backups abzurufen .

Dies könnte gut funktionieren, sperren Sie jedoch den SSH / SFTP-Port, sodass nur Ihr Backup-PC darauf zugreifen kann, verwenden Sie ein Konto mit eingeschränktem Zugriff und denken Sie über einige der gleichen Vorsichtsmaßnahmen nach. Was ist beispielsweise, wenn Ihr Backup-PC kompromittiert ist? Dann ist auch Ihr Cloud-Server gefährdet usw.


Tolle Liste mit Vorsichtsmaßnahmen, danke. Es entsprach dem, was ich zu hören hoffte. Ich werde damit weitermachen.
Darius

Bitte. Wenn mir noch etwas einfällt, werde ich die Antwort und den Kommentar hier bearbeiten, um Sie zu informieren. Ich bin ein professioneller Penetrationstester, daher sollte es nicht lange dauern, bis mir klar wird, ob ich etwas vergessen habe!
Bao7uo
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.