집에 서버가 모든 클라이언트 웹 사이트의 백업을 주기적으로 받도록하는 것이 합리적인 아이디어일까요?

예, 몇 가지 예방 조치를 따르는 경우

FTP 액세스 권한이있는 서버와 동일한 네트워크 / 라우터에 연결된 내 컴퓨터에 보안 위협이 있습니까?

예, 일부 예방 조치를 따르지 않으면

1. 클라우드 서버가 손상되면 어떻게합니까? 그러면 클라우드 서버가 연결될 수 있기 때문에 홈 기반 백업 PC도 손상 될 수 있습니다.
2. 가정용 백업 PC가 손상된 경우 어떻게합니까? 무엇에 액세스 할 수 있습니까?

따라서 기본적으로 시스템 중 하나의 시스템이 손상 될 위험을 줄이면서 공격자가 둘 중 하나를 모두 손상시킬 수있는 경우 액세스 권한을 제한하려고합니다.

지침

1. 자격 증명이 암호화되지 않은 상태로 전송되고 Linux 상자에서 SSH 서버를 실행하고를 사용하여 파일을 연결 / 전송할 수 있으므로 FTP를 사용하지 마십시오 scp. 대안-Linux, Mac 또는 Windows에서 실행되는 SFTP 또는 SCP 유형 서버를 찾으십시오.
2. 백업 디렉토리에 대한 scp 액세스 권한 만 있고 백업을 보내기에 충분한 액세스 권한이있는 제한된 SSH 계정을 사용하십시오.
3. 인증을 위해 개인 키 사용
4. 위의 단계를 통해 원격 클라우드 서버가 침입하여 개인 키를 도난당한 경우 공격자는 이미 액세스 한 서버의 백업에만 액세스 할 수 있습니다!
5. NAT / 포트 포워딩 및 DMZ 기능이있는 방화벽을 실행하십시오 (알려진 취약점이없는 최신 펌웨어가있는 경우 ISP의 WiFi 라우터 일 수도 있음-이중 확인-일부 구형 ISP 라우터에는 버그가 있습니다)
6. DMZ에 홈 기반 백업 컴퓨터를 배치하십시오. 이렇게하면 다른 컴퓨터에 쉽게 액세스 할 수 없으므로 위협이 발생할 경우 위협을 크게 줄입니다. 내부 홈 네트워크에서 DMZ로 포트 22를 전달하고 관리 / scp 목적으로 더 높은 권한으로 로그온 할 수 있습니다.
7. NAT / 포트 포워딩을 사용하여 임의의 높은 TCP 포트 (예 : 55134)를 퍼블릭 IP에서 SSH 서비스로 전달합니다. 이렇게하면 서비스를 덜 쉽게받을 수 있습니다
8. 전달 된 포트가 원격 클라우드 서버에만 표시되도록 방화벽에 대한 액세스를 제한하십시오.
9. 백업 컴퓨터에 기밀 데이터, SSH 개인 키, 암호 등을 두지 마십시오. 이렇게하면 공격자가 액세스 할 수있는 대상을 더 줄일 수 있습니다.
10. 모든 시스템 / 서비스는 특히 클라우드 서버 및 백업 PC에서 최신 상태로 유지하십시오. 취약점은 항상 발견되고 있으며, 예를 들어 기본 액세스를 루트 수준 액세스로 전환하는 등 공격자가 쉽게 악용 할 수 있습니다. (예 : https://dirtycow.ninja/ )

이 목록은 이상적인 시나리오이며 위험에 대해 생각하는 데 도움이됩니다. ISP 라우터에 DMZ 기능이없고 대체 방화벽 설정에 투자하고 싶지 않은 경우 타협에 만족할 수 있습니다 (개인적으로는 만족하지 않습니다). 모든 내부 네트워크 PC에서 호스트 기반 방화벽이 활성화되어 있고 강력한 암호가 필요한 경우 모든 공유 / 서비스에 대한 인증이 필요합니다.

다른 사용자가 제안한 대안 (여기서 좀 더 자세히 설명)은 클라우드 서버를 스크립팅하여 백업을 생성하고 사용 가능하게하고 백업 PC를 스크립팅하여 SFTP 또는 SCP (SSH)를 통해 연결하여 백업을 가져 오는 것입니다 .

이것은 잘 작동 할 수 있지만 SSH / SFTP 포트를 잠그면 백업 PC 만 액세스 할 수 있고 제한된 액세스 계정을 사용하며 동일한 예방 조치를 고려할 수 있습니다. 예를 들어 백업 PC가 손상된 경우 어떻게해야합니까? 그런 다음 클라우드 서버도 손상됩니다.

답변