백업 목적으로 집에 서버를 설치하는 것은 나쁜 생각입니까?

11

나는 오늘 호스팅 제공 업체에 의해 화상을 입었고, 데이터 센터 문제가 있었고 백업을했다고 주장했지만 백업이 손상되어 호스팅 한 두 개의 다른 서버에 백업 한 웹 사이트를 잃어 버렸습니다. 두 서버 모두 영향을 받아 데이터가 사라졌습니다. 그 하나의 웹 사이트는 슬프게도 내가 로컬로 백업하지 않은 웹 사이트였습니다.

따라서 FTP를 통해 정기적으로 백업을 수행하기 위해 작고 저렴한 서버와 일부 하드 드라이브를 구입하려고합니다.

문제는 FTP 액세스 권한이있는 서버와 동일한 네트워크 / 라우터에 연결된 내 컴퓨터에 보안 위협이 있습니까?

집에 서버가 모든 클라이언트 웹 사이트의 백업을 주기적으로 받도록하는 것이 합리적인 아이디어일까요? 이 시점에서, 제 3 자 솔루션에 대한 수많은 이야기가 그들이 주장하는 것을 수행하지 못했기 때문에 모든 것을 스스로해야한다고 생각합니다.

linux  backup 
다리우스
소스
13
하지 않는 한 그들은이 저장된 문제, 또는 누가 그들을 않습니다 당신은 백업 및 복원을 테스트 한 후 그들은 정말 백업되지 않습니다.
user9517
홈 서버가 클라우드 서버에 액세스하고 백업을 가져 오도록하십시오.
cornelinux
1
여기에 좋은 핵심 모범 사례 질문 이 있다고 생각할 때 닫히게 될 것이라고 생각되는 질문에서 관련이없는 참조를 제거했습니다 . 누군가 동의하지 않는 경우, 편집 및 / 또는 VTC를 자유롭게 되 돌리십시오. 그리고 백업 테스트에 대한 위의 Iain의 의견 은 주제에 대해 얻을 수있는 최고의 모범 사례 조언 이라고 생각 합니다.
MadHatter

답변:

12

집에 서버가 모든 클라이언트 웹 사이트의 백업을 주기적으로 받도록하는 것이 합리적인 아이디어일까요?

예, 몇 가지 예방 조치를 따르는 경우

FTP 액세스 권한이있는 서버와 동일한 네트워크 / 라우터에 연결된 내 컴퓨터에 보안 위협이 있습니까?

예, 일부 예방 조치를 따르지 않으면

  1. 클라우드 서버가 손상되면 어떻게합니까? 그러면 클라우드 서버가 연결될 수 있기 때문에 홈 기반 백업 PC도 손상 될 수 있습니다.
  2. 가정용 백업 PC가 손상된 경우 어떻게합니까? 무엇에 액세스 할 수 있습니까?

따라서 기본적으로 시스템 중 하나의 시스템이 손상 될 위험을 줄이면서 공격자가 둘 중 하나를 모두 손상시킬 수있는 경우 액세스 권한을 제한하려고합니다.

지침

  1. 자격 증명이 암호화되지 않은 상태로 전송되고 Linux 상자에서 SSH 서버를 실행하고를 사용하여 파일을 연결 / 전송할 수 있으므로 FTP를 사용하지 마십시오 scp. 대안-Linux, Mac 또는 Windows에서 실행되는 SFTP 또는 SCP 유형 서버를 찾으십시오.
  2. 백업 디렉토리에 대한 scp 액세스 권한 만 있고 백업을 보내기에 충분한 액세스 권한이있는 제한된 SSH 계정을 사용하십시오.
  3. 인증을 위해 개인 키 사용
  4. 위의 단계를 통해 원격 클라우드 서버가 침입하여 개인 키를 도난당한 경우 공격자는 이미 액세스 한 서버의 백업에만 액세스 할 수 있습니다!
  5. NAT / 포트 포워딩 및 DMZ 기능이있는 방화벽을 실행하십시오 (알려진 취약점이없는 최신 펌웨어가있는 경우 ISP의 WiFi 라우터 일 수도 있음-이중 확인-일부 구형 ISP 라우터에는 버그가 있습니다)
  6. DMZ에 홈 기반 백업 컴퓨터를 배치하십시오. 이렇게하면 다른 컴퓨터에 쉽게 액세스 할 수 없으므로 위협이 발생할 경우 위협을 크게 줄입니다. 내부 홈 네트워크에서 DMZ로 포트 22를 전달하고 관리 / scp 목적으로 더 높은 권한으로 로그온 할 수 있습니다.
  7. NAT / 포트 포워딩을 사용하여 임의의 높은 TCP 포트 (예 : 55134)를 퍼블릭 IP에서 SSH 서비스로 전달합니다. 이렇게하면 서비스를 덜 쉽게받을 수 있습니다
  8. 전달 된 포트가 원격 클라우드 서버에만 표시되도록 방화벽에 대한 액세스를 제한하십시오.
  9. 백업 컴퓨터에 기밀 데이터, SSH 개인 키, 암호 등을 두지 마십시오. 이렇게하면 공격자가 액세스 할 수있는 대상을 더 줄일 수 있습니다.
  10. 모든 시스템 / 서비스는 특히 클라우드 서버 및 백업 PC에서 최신 상태로 유지하십시오. 취약점은 항상 발견되고 있으며, 예를 들어 기본 액세스를 루트 수준 액세스로 전환하는 등 공격자가 쉽게 악용 할 수 있습니다. (예 : https://dirtycow.ninja/ )

이 목록은 이상적인 시나리오이며 위험에 대해 생각하는 데 도움이됩니다. ISP 라우터에 DMZ 기능이없고 대체 방화벽 설정에 투자하고 싶지 않은 경우 타협에 만족할 수 있습니다 (개인적으로는 만족하지 않습니다). 모든 내부 네트워크 PC에서 호스트 기반 방화벽이 활성화되어 있고 강력한 암호가 필요한 경우 모든 공유 / 서비스에 대한 인증이 필요합니다.

다른 사용자가 제안한 대안 (여기서 좀 더 자세히 설명)은 클라우드 서버를 스크립팅하여 백업을 생성하고 사용 가능하게하고 백업 PC를 스크립팅하여 SFTP 또는 SCP (SSH)를 통해 연결하여 백업을 가져 오는 것입니다 .

이것은 잘 작동 할 수 있지만 SSH / SFTP 포트를 잠그면 백업 PC 만 액세스 할 수 있고 제한된 액세스 계정을 사용하며 동일한 예방 조치를 고려할 수 있습니다. 예를 들어 백업 PC가 손상된 경우 어떻게해야합니까? 그런 다음 클라우드 서버도 손상됩니다.

bao7uo
소스
예방 조치의 위대한 목록, 감사합니다. 내가 듣기를 바랐던 줄을 따라있었습니다. 앞으로 나아갈 것입니다.
다리우스
천만에요. 다른 것을 생각하면 답변을 편집하고 여기에 의견을 보내 알려 드리겠습니다. 나는 전문적인 침투 테스터이므로 잊어 버린 것을 깨닫는 데 오래 걸리지 않아야합니다!
bao7uo
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.