所以,我正在考虑购买一个小型廉价服务器和一些硬盘来通过FTP进行定期备份.@H_404_3@
问题是,与连接FTP的服务器在同一网络/路由器上连接的计算机是否存在安全威胁?@H_404_3@
在家中安装服务器定期备份所有客户网站是否合理?在这一点上,我觉得我必须自己做所有事情,因为有许多关于第三方解决方案未能按照他们的要求做的事情的故事.@H_404_3@
解决方法
是的,前提是您遵循一些预防措施@H_404_3@
连接到与FTP有关的服务器的同一网络/路由器上的计算机是否存在安全威胁?@H_404_3@
是的,如果您不遵循一些预防措施@H_404_3@
>如果我的云服务器遭到入侵怎么办?然后,我的家庭备份PC可能也会受到攻击,因为云服务器可以连接到它.
>如果我的家庭备份PC受到损害怎么办?它有什么访问权限?@H_404_3@
因此,您基本上希望降低任一系统受到危害的风险,同时还要限制攻击者在他们设法妥协的情况下可能具有的访问权限.@H_404_3@
注意事项@H_404_3@
>不要使用FTP,因为凭据可以未加密传输,在Linux机器上运行SSH服务器,使用scp连接/传输文件.备选方案 – 查找在Linux,Mac或Windows上运行的SFTP或SCP类型的服务器.
>使用仅对备份目录具有scp访问权限的有限SSH帐户,并且只有足够的访问权限才能发送备份.
>使用私钥进行身份验证
>通过上述步骤,如果您的远程云服务器被破坏并且私钥被盗,则攻击者只能访问他们已有权访问的服务器的备份!
>运行具有NAT /端口转发和DMZ功能的防火墙(如果它具有没有已知漏洞的最新固件,甚至可以是您的ISP的WiFi路由器 – 仔细检查一下 – 一些较旧的ISP路由器充满了bug)
>将基于家庭的备份计算机放在DMZ中.这样,它就无法轻松访问任何其他计算机,因此如果受到威胁,则会大大降低威胁.您可以将端口22从内部家庭网络转发到DMZ,并以更高的权限登录以管理/ scp.
>使用NAT /端口转发将随机高TCP端口(例如55134)从您的公共IP转发到您的SSH服务 – 这将使服务不易被提取
>限制防火墙上的访问权限,以便转发的端口仅对远程云服务器可见
>请勿在备份计算机上放置任何机密数据,SSH私钥,密码等.这样,如果它被泄露,您可以进一步减少攻击者可以访问的内容.
>使所有系统/服务保持最新 – 尤其是在云服务器和备份PC上.漏洞总是被发现,并且通常很容易被攻击者利用,例如将基本访问转变为根级访问. (例如https://dirtycow.ninja/)@H_404_3@
此列表是理想的情况,应该可以帮助您考虑风险.如果您的ISP路由器没有DMZ功能,并且您不想投资设置备用防火墙,那么您可能会对妥协感到满意(我个人对它不满意) – 在这种情况下我将确保所有内部网络PC上的基于主机的防火墙处于活动状态,并且强密码需要对所有共享/服务等进行身份验证.@H_404_3@
如另一个用户所建议的另一种选择(这里有更多细节)是为您的云服务器编写脚本以生成备份并使其可用,并编写备份PC脚本以通过SFTP或SCP(SSH)进行连接以提取备份.@H_404_3@
这可以很好地工作,但锁定SSH / SFTP端口,以便只有您的备份PC可以访问它,使用有限的访问帐户,并考虑一些相同的预防措施.例如.如果您的备份PC受到损害怎么办?然后您的云服务器也会受到攻击等.@H_404_3@