linux – 这是设置安全备份的合理方法吗?可以改进吗?

前端之家收集整理的这篇文章主要介绍了linux – 这是设置安全备份的合理方法吗?可以改进吗?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
>在正在备份的计算机上:
在具有要备份内容的生产 Linux VM上创建有限权限帐户.

>帐户可以访问单个直接[例如/ home / backup]并仅允许通过密钥使用ssh.
>帐户将被chroot到/ home / backup目录.
>帐户将被限制shell [RSSh]
>帐户将通过AllowUsers backup @ [backup vm ip address]进行限制

>在正在备份的计算机上
以root身份生成备份,将它们放在有限权限帐户可以访问它们的位置,然后将它们添加到有限权限帐户.

> Root帐户可以访问加密密码/密钥.此密钥的副本将存在于developer / sysadmin计算机和/或usb密钥驱动器上.假设是一个受损的系统管理员/ dev机器=搞砸了.他们能够键入密钥密码的输入并获得密钥的副本.
> Root帐户生成备份 – >压缩备份 – >加密备份 – >将备份移至/home/backup/current.tar.bz2 – > chown backup:backup

>在收集备份的计算机上
在所有生产计算机上拥有备份帐户的SSH密钥,只需将/home/backup/current.zip从源计算机复制到本地计算机即可.

>没有加密/解密信息.
>备份VM访问仅限于其计算机上的sysadmin / dev ssh密钥.

要备份的信息不是非常敏感[公共/私人对话,正在备份的服务的帐户密码等].它不像信用卡,健康信息等.

我相信其余的备份过程[恢复,备份频率等]让我满意.

解决方法

当您的异地备份由第三方存储时,您应该在此方案中使用公钥加密.

这样,正在备份的计算机只有自己的公钥,因此只能创建备份.您将私钥存储为脱机,并仅将其用于还原.

Bareos等备份解决方案已经支持公钥加密,或者您可以通过GPG将其轻松集成到现有设置中.

猜你在找的Linux相关文章