Zum Inhalt springen

Automatisierte Backups sicher einrichten (Borg + SSH)


Empfohlene Beiträge

Geschrieben

Moin zusammen!

Ich wollte mal nach eurer Meinung/Vorschlägen zu folgendem Thema fragen:

Zuhause habe ich einen alten Desktoprechner als Storage-Server eingerichtet. Ich habe ein headless Debian darauf laufen und teile meine Datenpartition per NFS im lokalen Netzwerk. Auf den Server greife ich per SSH zu, Passwort-Login habe ich deaktiviert, man kommt nur mit passendem Key + Key-Passphrase auf den Server.

Um Backups der Daten zu erstellen möchte ich Borg Backup verwenden. Die Backupziele sind eine externe Festplatte, die direkt am Server hängt, als auch eine Hetzner Storagebox als Offsite Backup.

Aktuell habe ich auf dem Server eine leicht abgewandelte Version des Beispielskripts von Borg, die ich per Cronjob alle 24 Stunden ausführe. Zum Verbinden mit der Storagebox nutze ich einen SSH-Key, allerdings ohne Passwort.

Sowohl SSH-Key als auch das Skript liegen im /root/ und Verzeichnis- und Dateizugriffsrechte sind so geregelt, dass da auch nur der root drankommt.

Trotzdem bin ich mir bewusst, dass es nicht besonders sicher ist, Passwörter in plain text zu speichern noch SSH-Keys ohne Passphrase zu verwenden. Zwar ist die Wahrscheinlichkeit gering, aber sollte sich jemand eine root-Shell auf dem Server besorgen können, wären sowohl die Daten als auch die Backups kompromittiert.

Was haltet ihr grundsätzlich von dem Setup und welche Vorschläge hättet ihr, um die Sicherheit noch zu verbessern?

Geschrieben
vor 32 Minuten schrieb Gudetama:

Zuhause

ok. Also genatettes Netzwerk.

vor 33 Minuten schrieb Gudetama:

sollte sich jemand eine root-Shell auf dem Server besorgen können

Dazu müsste der den Router umgehen oder Du hast ( wie ganz viele User ) unsichere Geräte in Deinem Netz.

Regel: alles mit CloudAccess ist ein Nogo

vor 33 Minuten schrieb Gudetama:

wären sowohl die Daten als auch die Backups kompromittiert

da das zuhause ist reden wir über ein Konzept ?

vor 34 Minuten schrieb Gudetama:

Passwörter in plain text zu speichern

DAS verstehe ich nicht. Wenn ich Keys hinterlege dann gibts keine Kennworte mehr. Wo in Deinem Setup liegen da unverschlüsselte Kennworte ?

Wenn man eine unixoide Kiste härtet ist jeglicher administrativer Zugriff über das Netz verboten und alle Zugriffe sind nur über Zertifikat offen. Einzig die Konsole wäre erlaubt als Notfallzugriff und ein normaler User kann sich nur zu root hochstufen. So würde das in der Praxis aussehen. Für zuhause schon völlig ok, es sei denn Du bist verseucht mit Alexa, Home Automatisierung, Cloudstorage & Co

Geschrieben

JEDES OnlineBackup ist ein Risiko. Bin Auditor für kritische Infrastruktur und da setzt man immer offline Backup voraus.

Ein simples RDX an der Kiste würde Wunder wirken ;)

Geschrieben (bearbeitet)
vor 6 Stunden schrieb charmanta:

Dazu müsste der den Router umgehen oder Du hast ( wie ganz viele User ) unsichere Geräte in Deinem Netz.

Nope. Die einzigen Geräte, die in die Richtung gehen sind eine PS4 und eine Nintendo Switch, die beide ins Netz wollen. Die sind aber in ihrem eigenen Netz und vom Rest des Netzwerks isoliert.

vor 6 Stunden schrieb charmanta:

DAS verstehe ich nicht. Wenn ich Keys hinterlege dann gibts keine Kennworte mehr. Wo in Deinem Setup liegen da unverschlüsselte Kennworte ?

Für den SSH Zugang stimmt das. Es geht bei den Passwörtern um die Backups. Borg verschlüsselt die und um ein neues Backuparchiv anzulegen, benötigt Borg die Passphrase des Backuprepos. Damit ohne mein Zutun abläuft, ist die Passphrase im Backupskript enthalten, dort wird sie als Environment Variable exportiert, die nach dem Backupvorgang wieder geleert wird. Die Passphrase steht also im Skript, wie im Eingangspost erwähnt, nur mit root-Privilegien lesbar. (Im Eingangspost hatte ich einen Link auf das Beispielskript von Borg verlinkt, da kannst du das bei Interesse auch nochmal genauer nachlesen)

vor 6 Stunden schrieb charmanta:

Wenn man eine unixoide Kiste härtet ist jeglicher administrativer Zugriff über das Netz verboten und alle Zugriffe sind nur über Zertifikat offen. Einzig die Konsole wäre erlaubt als Notfallzugriff und ein normaler User kann sich nur zu root hochstufen. So würde das in der Praxis aussehen. Für zuhause schon völlig ok, es sei denn Du bist verseucht mit Alexa, Home Automatisierung, Cloudstorage & Co

Jepp, so handhabe ich das auch. Dann bin ich doch schon mal ein wenig beruhigter. IoT-Kram gibt es hier nicht, der TV ist zwar "Smart" hat aber keinen Netzwerkzugriff und die üblichen Streamingdienste rufe ich über einen Raspi + Kodi ab.

vor 6 Stunden schrieb charmanta:

JEDES OnlineBackup ist ein Risiko. Bin Auditor für kritische Infrastruktur und da setzt man immer offline Backup voraus.

Ein simples RDX an der Kiste würde Wunder wirken ;)

RDX hatte ich vorher noch gar nicht auf dem Schirm, sieht sehr interessant aus. Mein Problem ist aber, dass ich gerne ein Backup hätte, dass nicht in der selben Wohnung wie der Server und die lokale Backupplatte liegen. Und da ich keinen (geeignet) Ort habe, den ich regelmäßig genug aufsuche um da die Platten zu hinterlegen, hatte ich mich für die Storagebox entschieden.

Bearbeitet von Gudetama

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...