今天我被一家托管服务提供商搞得焦头烂额,他们的数据中心出了问题,他们声称他们会备份,但他们的备份被破坏了,所以我丢失了一个网站,这个网站是我在他们托管的两台不同服务器上备份的。两台服务器都受到影响,所以数据都不见了。遗憾的是,那个网站是我本地没有备份的网站。
所以,我正在考虑购买一台小型廉价服务器和一些硬盘,以便通过 FTP 进行定期备份。
问题是,对于与具有 FTP 访问权限的服务器连接在同一网络/路由器上的计算机是否存在安全威胁?
在家里安装一台服务器定期备份我所有客户的网站是否合理?目前,我觉得我必须自己做所有事情,因为无数故事表明第三方解决方案无法实现他们所宣称的功能。
答案1
在家里设立一台服务器定期备份所有客户的网站是一个合理的想法吗?
是的,只要你遵循一些预防措施
对于与具有 FTP 访问权限的服务器连接在同一网络/路由器上的计算机是否存在安全威胁?
是的,如果你不遵循一些预防措施
- 如果我的云服务器被入侵了怎么办?那么我家里的备份电脑很可能也会被入侵,因为云服务器可以连接到它。
- 如果我家里的备份电脑被入侵了怎么办?它可以访问哪些内容?
因此,您基本上希望降低任一系统被入侵的风险,同时也限制攻击者在设法入侵任一系统或两者时所拥有的访问权限。
防范措施
- 不要使用 FTP,因为凭证可以以未加密的形式传输,在 Linux 机器上运行 SSH 服务器,并使用 连接/传输文件
scp
。替代方案 - 找到在 Linux、Mac 或 Windows 上运行的 SFTP 或 SCP 类型的服务器。 - 使用有限的 SSH 帐户,该帐户仅对备份目录具有 scp 访问权限,并且仅具有足够的访问权限来发送备份。
- 使用私钥进行身份验证
- 通过上述步骤,如果您的远程云服务器被攻破并且私钥被盗,那么攻击者只能访问他们已经有权访问的服务器的备份!
- 运行具有 NAT/端口转发和 DMZ 功能的防火墙(如果它具有最新的固件并且没有已知漏洞,甚至可以是您的 ISP 的 WiFi 路由器 - 仔细检查 - 一些较旧的 ISP 路由器充满了错误)
- 将您家中的备份计算机放置在 DMZ 中。这样,它就无法轻易访问您的其他计算机,因此,如果受到攻击,威胁就会大大降低。您可以将端口 22 从内部家庭网络转发到 DMZ,并以更高的权限登录以进行管理/scp 操作。
- 使用 NAT/端口转发将一个随机的高 TCP 端口(例如 55134)从你的公共 IP 转发到你的 SSH 服务 - 这将使该服务不太容易被利用
- 限制防火墙上的访问,以便转发的端口仅对远程云服务器可见
- 不要将任何机密数据、SSH 私钥、密码等放在备份计算机上。这样,如果备份计算机被盗,攻击者可以访问的内容就会进一步减少。
- 保持所有系统/服务为最新状态 - 尤其是云服务器和备份 PC。漏洞总是会被发现,并且通常很容易被攻击者利用,例如将基本访问权限转变为根级访问权限。(例如https://dirtycow.ninja/)
此列表是理想情况,应该可以帮助您考虑风险。如果您的 ISP 路由器没有 DMZ 功能,并且您不想投资设置替代防火墙,那么您可能会对折衷方案感到满意(我个人不会对此感到满意)- 在这种情况下,我会确保基于主机的防火墙在您所有的内部网络 PC 上都处于活动状态,并且强密码,要求对所有共享/服务进行身份验证等。
另一个用户建议的替代方案(这里有更详细的信息)是编写脚本来生成备份并使其可用,并编写脚本来通过 SFTP 或 SCP(SSH)连接以提取备份。
这可能效果不错,但请锁定 SSH/SFTP 端口,以便只有您的备份 PC 可以访问它,使用受限访问帐户,并考虑一些相同的预防措施。例如,如果您的备份 PC 受到威胁怎么办?那么您的云服务器也会受到威胁,等等。