অফসাইট ব্যাকআপ সুরক্ষিত করুন, এমনকি হ্যাকার রুট অ্যাক্সেসের ক্ষেত্রেও

আমি কোনও অফসাইট ব্যাকআপ করার আরও সুরক্ষিত উপায়টি প্রয়োগ করার একটি উপায় খুঁজছি যা কোনও দূষিত হ্যাকার আমার সার্ভারে রুট অ্যাক্সেস অর্জন করে এমন পরিস্থিতি থেকে আমার ডেটা রক্ষা করবে। যদিও এসএসএইচ এবং পাসওয়ার্ড সুরক্ষা যথাযথভাবে সেট আপ করা হয় এবং সিস্টেমটি সঠিকভাবে আপ টু ডেট রাখে তবে ঘটনার সম্ভাবনা অন্যান্য ধরণের ঝুঁকির চেয়ে কম হলেও স্থায়ীভাবে করা ক্ষতির পরিমাণটি সত্যই বেশি এবং তাই আমি এটি সীমাবদ্ধ করার জন্য কোনও সমাধান খুঁজে পেতে চাই।

আমি ইতিমধ্যে অফসাইট ব্যাকআপ দুটি উপায় চেষ্টা করেছি:

• একটি সাধারণ রুট-লিখনযোগ্য ওয়েবডাভ মাউন্ট (এবং fstab এ কনফিগার করা) যেখানে ব্যাকআপ ডেটা অনুলিপি করা হয়। সমস্যা : সত্যই অফসাইট ব্যাকআপ নয় কারণ সংযোগটি - এবং ততোধিক অ্যাক্সেস - অফসাইটের স্থানে ফাইল সিস্টেমে একটি ফোল্ডার হিসাবে ক্রমাগত খোলা থাকে left মাউন্টটিতে অ্যাক্সেসের সুযোগ সীমিত রাখার ক্ষেত্রে (কেবলমাত্র রুটটি কেবল অ্যাক্সেস পড়ার জন্য) থাকে তবে এটি বিভিন্ন ধরণের আক্রমণগুলির বিরুদ্ধে পর্যাপ্ত সুরক্ষা, তবে রুট অ্যাক্সেস সহ কোনও দূষিত ব্যক্তির বিরুদ্ধে সুরক্ষা না দেয়।

• কী প্রমাণীকরণ সহ এসএসএইচ এর মাধ্যমে বর্গ ব্যাকআপ। সমস্যা : দূষিত ব্যবহারকারীর হোস্টে রুট অ্যাক্সেস থাকলে হোস্টে সঞ্চিত কীটি দিয়ে সেই অফসাইট সার্ভারের সংযোগটি সম্পন্ন করা যেতে পারে।

সমাধান হিসাবে আমি এই সম্ভাব্য উপায়গুলি সম্পর্কে ভাবছি, তবে কীভাবে এবং কীভাবে আমি জানি না:

• ব্যাকআপগুলি কেবল লেখা বা গন্তব্যে সংযুক্ত করা যায় তবে মোছা যায় না।
• ব্যাকআপ সফ্টওয়্যার ব্যবহার যা অফসাইট ব্যাকআপগুলি পরিচালনা করে এবং প্রথম হোস্ট থেকে অফসাইট ব্যাকআপগুলি ব্যাপকভাবে মোছার পক্ষে সমর্থন করে না।

আমার পরিস্থিতিতে সত্যই আকর্ষণীয় নয় এমন সমাধানগুলি:

• অফসাইট হোস্টের অতিরিক্ত ব্যাকআপ জব যা এটিকে এমন কোনও স্থানে স্থানান্তর করে যা প্রথম হোস্টের দ্বারা অ্যাক্সেসযোগ্য নয় (প্রযুক্তিগত সীমাবদ্ধতার কারণে)।

আমার মামলার জন্য কীভাবে উপযুক্ত অফসাইট ব্যাকআপ প্রয়োগ করা যায় সে সম্পর্কে কেউ পরামর্শ দিতে পারেন?

আপনার সমস্ত পরামর্শে বর্তমানে একটি জিনিস সাধারণ রয়েছে: ব্যাকআপ উত্সটি ব্যাকআপ করে এবং ব্যাকআপ গন্তব্যে অ্যাক্সেস করে। আপনি অবস্থানটি মাউন্ট করুন বা এসএসএইচ বা আরএসএনসি-এর মতো সরঞ্জামগুলি ব্যবহার করুন না কেন, উত্স সিস্টেমে কোনওভাবে ব্যাকআপের অ্যাক্সেস রয়েছে। অতএব, সার্ভারে একটি আপস আপনার ব্যাকআপগুলিকেও আপস করতে পারে।

পরিবর্তে যদি ব্যাকআপ সমাধানটির সার্ভারে অ্যাক্সেস থাকে? ব্যাকআপ সিস্টেমটি কেবল পঠনযোগ্য অ্যাক্সেসের সাথে তার কাজটি করতে পারে , তাই ব্যাকআপ সিস্টেমে কোনও আপস সম্ভবত সার্ভারকে আপস করবে না। এছাড়াও, ব্যাকআপ সিস্টেমটি কেবলমাত্র সেই উদ্দেশ্যেই উত্সর্গ করা যেতে পারে, ব্যাকআপের বিষয়বস্তুগুলিকে একমাত্র আক্রমণ ভেক্টর হিসাবে তৈরি করে। এটি খুব অসম্ভব এবং সত্যই অত্যাধুনিক আক্রমণ দরকার।

টেম্পারড বা ক্ষতিগ্রস্থ সামগ্রীর সাথে ব্যাকআপগুলিকে ওভাররাইটিং এড়াতে, ইনক্রিমেন্টাল ব্যাকআপ করুন যা আপনাকে পূর্বনির্ধারিত পুনরুদ্ধারের সময়কালের মধ্যে কোনও পূর্ববর্তী অবস্থা পুনরুদ্ধার করতে দেয়।

অপরিচ্ছন্ন স্টোরেজ

একটি ভাল বিকল্প হ'ল আপনার ব্যাকআপ স্টোরেজটিকে অপরিবর্তনীয় করে তোলা, বা কমপক্ষে নির্ভরযোগ্য সংস্করণ সরবরাহ করা যা আপনাকে কার্যকরভাবে অপরিবর্তনীয়তা দেয়। পরিষ্কার হতে হবে: অপরিবর্তনীয় মানে পরিবর্তিত হতে অক্ষম বা স্থায়ী।

এমন একাধিক পরিষেবা রয়েছে যা আপনার জন্য এটি করতে পারে। এডাব্লুএস এস 3, ব্যাকব্লেজ বি 2, এবং আমি সন্দেহ করি আজুর এবং গুগল উভয়ই অনুরূপ পরিষেবা সরবরাহ করে। এটি করার জন্য আপনি সম্ভবত একটি সার্ভার সেট আপ করতে পারেন, তবে আমি কীভাবে তা নিশ্চিত নই।

আপনার যখন একটি অপরিবর্তনীয় / সংস্করণ নিয়ন্ত্রিত সংগ্রহস্থল থাকে আপনি আপনার ব্যাকআপটি যে কোনও বিন্দুতে পুনরুদ্ধার করতে পারেন, সুতরাং আপনার হোস্টের আপত্তি থাকলে আপনি এখনও যেকোন সময়ে পুনরুদ্ধার করতে পারেন।

* এডাব্লুএস এস 3 **

আমি এডাব্লুএস এস 3 এর সাথে সর্বাধিক পরিচিত। এস 3 উচ্চ স্তরের স্থায়িত্ব সহ সংস্করণযুক্ত, এনক্রিপ্ট স্টোরেজ সরবরাহ করে।

এস 3 সংস্করণকে সমর্থন করে যা আপনাকে কার্যকর অপরিবর্তনীয়তা দেয়। আপনি কনফিগার করতে পারেন এমন সময়কালের পরে ফাইলগুলির পুরানো সংস্করণ মুছতে আপনি লাইফাইসাইকেল বিধিগুলি বেছে নিতে পারেন। আপনি শীতল স্টোরেজ (গ্লিসিয়ার কোল্ড আর্কাইভ) এ সংস্করণ সংরক্ষণাগারও রাখতে পারেন, যার জন্য প্রায় $ 1 / টিবি / মাসের ব্যয় হয়।

আপনি ব্যয় হ্রাস করতে বুদ্ধিমান স্টোরেজ টিয়ারিং ক্লাস ব্যবহার করতে পারেন । অবিচ্ছিন্ন অ্যাক্সেস শ্রেণিতে সমস্ত স্থিতিশীল ডেটা স্থানান্তরিত করার জন্য আমি একটি জীবনচক্রের নিয়ম ব্যবহার করা বেছে নিয়েছি, যা টেকসই এবং মাঝারি (গরম) পারফরম্যান্সে রয়েছে তবে এস 3 স্ট্যান্ডার্ডটির স্কেলাবিলিটি বা পারফরম্যান্স নেই।

এস 3 আইএএম (পরিচয় অ্যাক্সেস ম্যানেজমেন্ট, অর্থাৎ ব্যবহারকারী পরিচালনা) ব্যবহারকারী এবং নীতিগুলি ব্যবহার করে। আপনার ব্যাকআপ সফ্টওয়্যারটি আপনার স্টোরেজে কী করতে পারে এটি আপনাকে এটি খুব দানাদার নিয়ন্ত্রণ দেয়। আপনি আপলোডগুলির জন্য ব্যাকআপ ব্যবহারকারীর অনুমতি দিতে পারেন তবে আপডেট অস্বীকার এবং মুছতে পারেন। আপনার ফাইলগুলি মুছতে মাল্টি-ফ্যাক্টর প্রমাণীকরণেরও প্রয়োজন হতে পারে, অথবা এমনকী কোনও অবজেক্ট লক সরবরাহ করতে পারে যাতে ফাইলগুলি মোছা যায় না।

প্রস্তাবিত সফটওয়্যার

আমি রেস্টিক ব্যবহার করে ইনক্রিমেন্টাল ব্যাকআপ তৈরি করি । রেস্টিক নতুন ফাইলগুলি আপনার স্টোরেজ স্থানে আপলোড করে। আমি বিশ্বাস করি (তবে আমি ভুল হতে পারি) এটি নতুন ফাইল তৈরি করে, তবে সাধারণ ক্রিয়ায় এটি কোনও ফাইল আপডেট বা মুছবে না।

Borg অন্য বিকল্প। আমি বার্গ ব্যবহার করতাম, তবে আমি দেখতে পেলাম যে আমার মাঝারি আকারের শত শত এমবি ব্যাকআপ সহ এটি আমার সমস্ত ডেটা ইসি 2 থেকে এস 3-তে কার্যকরভাবে আপলোড করে। আমার কাছে এটি বর্ধমান নয়, তাই আমি এটি ব্যবহার বন্ধ করে দিয়েছি। আমি এটিতে নথিপত্র পেয়েছি, তবে লিঙ্কটি নেই।

এমন কয়েক ডজন সফটওয়্যার রয়েছে যা ক্লাউড স্টোরেজে আপলোড করতে পারে।

সুরক্ষিত স্টোরেজ

কিছু ব্যাকআপ সফ্টওয়্যার দিয়ে আপনি আইএম ব্যবহারকারীকে নতুন ফাইল লেখার অনুমতি দেওয়ার চেষ্টা করতে পারেন তবে বিদ্যমান ফাইলগুলি আপডেট করে না। এডাব্লুএস আইএএম দিয়ে এই সীমাবদ্ধতা তৈরি করা সহজ, তবে রেস্টিক নীচের মতামত অনুসারে সেই অনুমতিগুলি নিয়ে কাজ করবে না। এস 3 থেকে ফাইল মোছার জন্য আপনার মাল্টি-ফ্যাক্টর প্রমাণীকরণও থাকতে পারে।

আপনার আর একটি আইএম ব্যবহারকারী থাকতে পারে, আপনার পিসি বলে চালানো থেকে বিরত থাকে, যা আপনার সেট করা নীতি অনুসারে সংস্করণগুলি সংরক্ষণ করে সংরক্ষণাগারটির পর্যায়ক্রমিক পরিষ্কার স্ক্রাব করে।

Borg ব্যাকআপ কেবলমাত্র পরিমিত দূরবর্তী সংগ্রহস্থলগুলিকে সমর্থন করে । ব্যাকআপ নেওয়া সার্ভারটির যে কোনও আপসই কেবলমাত্র নতুন ব্যাকআপ তৈরি করতে পারে, কেবল পুরানোগুলি ওভাররাইট না করে।

আমার পরিস্থিতিতে সত্যই আকর্ষণীয় নয় এমন সমাধানগুলি:

অফসাইট হোস্টের অতিরিক্ত ব্যাকআপ জব যা এটিকে এমন কোনও স্থানে স্থানান্তর করে যা প্রথম হোস্টের অ্যাক্সেসযোগ্য নয়।

মূল সমস্যাটি হ'ল আপনি যদি দূর থেকে আপনার ব্যাকআপগুলি অ্যাক্সেস করতে পারেন তবে হ্যাকারও পারেন ।

(প্রযুক্তিগত সীমাবদ্ধতার কারণে)

প্রযুক্তিগত সীমাবদ্ধতা অতিক্রম করা হয়।

আমার মামলার জন্য কীভাবে উপযুক্ত অফসাইট ব্যাকআপ প্রয়োগ করা যায় সে সম্পর্কে কেউ পরামর্শ দিতে পারেন?

টেপ ড্রাইভগুলি প্রায় 70 বছর ধরে হ্যাকার সহ - সমস্ত ধরণের বিপর্যয়ের বিরুদ্ধে সুরক্ষিত, অফ-সাইট সুরক্ষা সরবরাহ করে আসছে।

আপনি এডাব্লুএস এস 3 (বা সম্ভবত গুগলের বা অ্যাজুরির সমতুল্য) এর মতো স্টোরেজ পরিষেবাগুলি ব্যবহার করতে পারেন যেখানে আপনি আপনার রুট অ্যাকাউন্টটি আপনার বালতিতে PUT অনুমতি দিতে পারেন তবে অনুমতিগুলি ডিলেট না করে। এইভাবে, আপনি একটি পুশ মডেল ব্যবহার করতে পারেন এবং আক্রমণকারী ব্যাকআপটি মুছতে সক্ষম হবে না।

এছাড়াও আরও সুরক্ষা ব্যবস্থা রয়েছে যা আপনি অ্যাডাব্লুএসের সাথে নিতে পারেন, যেমন বালতিতে এমএফএ প্রয়োজন হয় না, কিন্তু এমএফএ ছাড়াই পিইটি এবং জিইটিগুলিকে অনুমতি দিন। এইভাবে, আপনি উভয়ই আপনার ডেটা ব্যাক আপ করতে পারেন এবং আপনার এমএফএ ডিভাইসটি ব্যবহার না করেই আপনার পরিষেবাগুলি পুনরুদ্ধার করতে এটি পুনরুদ্ধার করতে পারেন, যা এমএফএ ডিভাইসটি অ্যাক্সেস করার ক্ষেত্রে আপোস করতে পারে এমন ক্ষেত্রে কিছুটা চূড়ান্ত (এবং সম্ভবত এটি উল্লেখ করাও অস্পষ্ট) ক্ষেত্রে কার্যকর হতে পারে।

এছাড়াও, সুযোগের কমেন্টের বাইরে আপনি আকর্ষণীয় / দরকারী বলে মনে করতে পারেন, মূল ডেটা উত্স অফলাইনে থাকলে স্বয়ংক্রিয় ব্যর্থতার জন্য এস 3 এবং অনুরূপ পরিষেবাগুলি কনফিগার করার বিভিন্ন উপায় রয়েছে।

কী প্রমাণীকরণ সহ এসএসএইচ এর মাধ্যমে বর্গ ব্যাকআপ। সমস্যা: দূষিত ব্যবহারকারীর হোস্টে রুট অ্যাক্সেস থাকলে হোস্টে থাকা সেই কী দিয়ে সেই অফসাইট সার্ভারের সংযোগটি সম্পন্ন করা যেতে পারে।

আপনি আপনার অনুমোদিত_পোক্রে বিকল্প কমান্ডটি ব্যবহার করতে পারেন। আপনি রিমোটে অনুমোদিত কমান্ডটি ঠিক করেন।

কীভাবে ssh অনুমোদিত_কিগুলিতে কমান্ড যুক্ত করবেন

এমনকি যদি কোনও আক্রমণকারী লগইন রুটটি পুনরুদ্ধার করে তবে সে সংজ্ঞায়িত কমান্ড ব্যতীত অন্য কিছু করতে সক্ষম হবে না।

আপনি যে প্রযুক্তিটি সেট আপ করতে পারেন তা হ'ল আপনার সার্ভার এবং একটি রিমোট ব্যাকআপ সার্ভারের মধ্যে সিঙ্কিং ব্যবহার করা এবং দূরবর্তী ব্যাকআপ সার্ভারটিকে স্ন্যাপশট বা তার প্রান্তে যা কিছু করতে দেওয়া যাতে সার্ভারের পার্শ্বে মুছে ফেলা না যায়।