เป็นความคิดที่สมเหตุสมผลหรือไม่ที่จะมีเซิร์ฟเวอร์ที่บ้านเพื่อรับการสำรองข้อมูลของเว็บไซต์ลูกค้าของฉันเป็นระยะ ๆ ?
ใช่ให้คุณทำตามข้อควรระวัง
มีภัยคุกคามความปลอดภัยใด ๆ ต่อคอมพิวเตอร์ของฉันที่เชื่อมต่อกับเครือข่าย / เราเตอร์เดียวกันกับเซิร์ฟเวอร์ที่จะเข้าถึง FTP หรือไม่
ใช่ถ้าคุณไม่ปฏิบัติตามข้อควรระวัง
- เกิดอะไรขึ้นถ้าเซิร์ฟเวอร์คลาวด์ของฉันถูกบุกรุก ถ้าเป็นไปได้แล้วว่าพีซีสำรองตามบ้านของฉันจะถูกบุกรุกเพราะเซิร์ฟเวอร์คลาวด์สามารถเชื่อมต่อได้
- จะทำอย่างไรถ้าพีซีสำรองตามบ้านของฉันถูกบุกรุก มันสามารถเข้าถึงอะไร
ดังนั้นโดยทั่วไปคุณต้องการลดความเสี่ยงของการประนีประนอมของทั้งสองระบบในขณะที่ยัง จำกัด การเข้าถึงผู้โจมตีที่จะมีในกรณีที่พวกเขาจัดการเพื่อประนีประนอมทั้ง / ทั้งสองอย่าง
ข้อควรระวัง
- อย่าใช้ FTP เป็นข้อมูลประจำตัวสามารถส่งเข้ารหัสเรียกใช้เซิร์ฟเวอร์ SSH บนกล่อง Linux และไฟล์เชื่อมต่อรับส่งจาก /
scpใช้ ทางเลือก - ค้นหาเซิร์ฟเวอร์ประเภท SFTP หรือ SCP ที่ทำงานบน Linux, Mac หรือ Windows
- ใช้บัญชี SSH แบบ จำกัด ที่มีสิทธิ์เข้าถึง scp ในไดเรกทอรีข้อมูลสำรองและมีสิทธิ์ในการส่งข้อมูลสำรองได้มากพอ
- ใช้คีย์ส่วนตัวสำหรับการตรวจสอบ
- ด้วยขั้นตอนข้างต้นหากเซิร์ฟเวอร์คลาวด์ระยะไกลของคุณแบ่งออกและรหัสส่วนตัวถูกขโมยผู้โจมตีจะเข้าถึงเฉพาะการสำรองข้อมูลของเซิร์ฟเวอร์ที่พวกเขาสามารถเข้าถึงได้แล้ว!
- เรียกใช้ไฟร์วอลล์ที่มีคุณสมบัติการส่งต่อ NAT / พอร์ตและ DMZ (อาจเป็นเราเตอร์ WiFi ของ ISP ของคุณหากมีเฟิร์มแวร์ล่าสุดที่ไม่มีช่องโหว่ที่ทราบ - ตรวจสอบอีกครั้ง - เราเตอร์ ISP รุ่นเก่าบางเครื่องเต็มไปด้วยข้อบกพร่อง)
- วางคอมพิวเตอร์สำรองที่บ้านของคุณไว้ใน DMZ วิธีนี้ไม่สามารถเข้าถึงคอมพิวเตอร์เครื่องอื่น ๆ ของคุณได้อย่างง่ายดายดังนั้นจึงช่วยลดภัยคุกคามได้อย่างมากหากถูกบุกรุก คุณสามารถส่งต่อพอร์ต 22 จากเครือข่ายภายในบ้านของคุณไปยัง DMZ และเข้าสู่ระบบด้วยสิทธิ์ที่สูงขึ้นสำหรับวัตถุประสงค์ในการดูแลระบบ / scp
- ใช้การส่งต่อ NAT / พอร์ตเพื่อส่งต่อพอร์ต TCP สูงแบบสุ่ม (เช่น 55134) จาก IP สาธารณะของคุณไปยังบริการ SSH ของคุณ - สิ่งนี้จะทำให้บริการหยิบขึ้นมาได้ง่ายขึ้น
- จำกัด การเข้าถึงไฟร์วอลล์เพื่อให้พอร์ตที่ส่งต่อสามารถมองเห็นได้บนเซิร์ฟเวอร์คลาวด์ระยะไกลของคุณเท่านั้น
- อย่าวางข้อมูลที่เป็นความลับคีย์ส่วนตัว SSH รหัสผ่าน ฯลฯ ไว้ในคอมพิวเตอร์สำรองของคุณ วิธีนี้หากถูกบุกรุกคุณจะลดสิ่งที่ผู้โจมตีสามารถเข้าถึงได้อีก
- ปรับปรุงระบบ / บริการทั้งหมดให้ทันสมัยโดยเฉพาะบนเซิร์ฟเวอร์คลาวด์และพีซีสำรอง ช่องโหว่มักถูกค้นพบและมักถูกโจมตีโดยผู้โจมตีได้ง่ายเช่นเปลี่ยนการเข้าถึงระดับพื้นฐานเป็นการเข้าถึงระดับราก (เช่นhttps://dirtycow.ninja/ )
รายการนี้เป็นสถานการณ์ในอุดมคติและควรช่วยให้คุณคิดถึงความเสี่ยง หากเราเตอร์ ISP ของคุณไม่มีคุณสมบัติ DMZ และคุณไม่ต้องการลงทุนในการตั้งค่าไฟร์วอลล์ทางเลือกคุณอาจพอใจกับการประนีประนอม (โดยส่วนตัวแล้วฉันจะไม่พอใจกับมัน) - ในกรณีนี้ฉัน จะตรวจสอบให้แน่ใจว่าไฟร์วอลล์ที่ทำงานบนโฮสต์นั้นใช้งานได้บนพีซีเครือข่ายภายในของคุณและรหัสผ่านที่คาดเดายากจำเป็นต้องมีการตรวจสอบสิทธิ์สำหรับการแชร์ / บริการทั้งหมดเป็นต้น
อีกทางเลือกหนึ่งตามที่ผู้ใช้รายอื่นแนะนำ (นี่คือรายละเอียดเพิ่มเติมเล็กน้อย) คือสคริปต์เซิร์ฟเวอร์คลาวด์ของคุณเพื่อสร้างข้อมูลสำรองและทำให้พร้อมใช้งานและสคริปต์พีซีสำรองของคุณเพื่อเชื่อมต่อผ่าน SFTP หรือ SCP (SSH) เพื่อดึงข้อมูลสำรอง .
สิ่งนี้อาจทำงานได้ดี แต่ล็อคพอร์ต SSH / SFTP ลงเพื่อให้เฉพาะพีซีสำรองของคุณเท่านั้นที่สามารถเข้าถึงใช้บัญชีการเข้าถึงที่ จำกัด และคิดถึงข้อควรระวังเดียวกันบางประการ เช่นถ้าพีซีสำรองของคุณถูกบุกรุก จากนั้นคลาวด์เซิร์ฟเวอร์ของคุณก็ถูกบุกรุกเช่นกันเป็นต้น