在家中设置服务器用于备份是个坏主意吗？

Question

我今天被托管服务提供商烧毁，他们有一个数据中心问题，他们声称他们做了备份，但他们的备份已损坏，所以我丢失了我在他们托管的两个不同服务器上备份的网站。两台服务器都受到影响，因此数据消失了。遗憾的是，那个 ONE 网站是我没有在本地备份的网站。

因此，我正在考虑购买一个小型廉价服务器和一些硬盘来通过 FTP 进行定期备份。

问题是，与具有 FTP 访问权限的服务器连接在同一网络/路由器上的我的计算机是否存在任何安全威胁？

在家里有一台服务器定期备份我所有客户的网站是否是一个合理的想法？在这一点上，我觉得我必须自己做所有事情，因为有很多关于 3rd 方解决方案未能做到他们声称的事情的故事。

Answer 1

在家里有一台服务器定期备份我所有客户的网站是否是一个合理的想法？

是的，前提是您遵循一些预防措施

与具有 FTP 访问权限的服务器连接在同一网络/路由器上的我的计算机是否存在任何安全威胁？

是的，如果您不遵守某些预防措施

1. 如果我的云服务器遭到入侵怎么办？那么很可能我的家用备份 PC 也会受到损害，因为云服务器可以连接到它。
2. 如果我的家用备份 PC 受到威胁怎么办？它可以访问什么？

因此，您基本上希望降低任一系统被入侵的风险，同时还限制攻击者在他们设法破坏其中一个/两个系统的情况下的访问权限。

预防措施

1. 不要使用 FTP，因为凭据可以不加密传输，在 Linux 机器上运行 SSH 服务器，并使用scp. 替代方案 - 查找在 Linux、Mac 或 Windows 上运行的 SFTP 或 SCP 类型服务器。
2. 使用仅对备份目录具有 scp 访问权限的受限 SSH 帐户，并且仅具有发送备份的足够访问权限。
3. 使用私钥进行身份验证
4. 通过上述步骤，如果您的远程云服务器被入侵并且私钥被盗，那么攻击者将只能访问他们已经有权访问的服务器的备份！
5. 运行具有 NAT/端口转发和 DMZ 功能的防火墙（如果它具有没有已知漏洞的最新固件，甚至可能是您的 ISP 的 WiFi 路由器-仔细检查一下-一些较旧的 ISP 路由器充满了错误）
6. 将您的家用备份计算机置于 DMZ 中。通过这种方式，它不会轻易访问您的任何其他计算机，因此在受到威胁时会大大降低威胁。您可以将端口 22 从您的内部家庭网络转发到 DMZ，并以更高的权限登录以进行管理/scp。
7. 使用 NAT/端口转发将一个随机的高 TCP 端口（例如 55134）从您的公共 IP 转发到您的 SSH 服务 - 这将使该服务更不容易被获取
8. 限制对防火墙的访问，以便转发的端口仅对您的远程云服务器可见
9. 不要在您的备份计算机上放置任何机密数据、SSH 私钥、密码等。这样，如果它受到威胁，您可以进一步减少攻击者可以访问的内容。
10. 使所有系统/服务保持最新 - 特别是在云服务器和备份 PC 上。漏洞总是会被发现，并且通常很容易被攻击者利用，例如将基本访问权限转换为根级别访问权限。（例如https://dirtycow.ninja/）

此列表是理想的情况，应该可以帮助您考虑风险。如果您的 ISP 路由器没有 DMZ 功能并且您不想投资设置替代防火墙，那么您可能会对妥协感到满意（我个人不会对此感到满意）-在这种情况下，我将确保基于主机的防火墙在您所有的内部网络 PC 上都处于活动状态，并且强密码需要对所有共享/服务等进行身份验证。

另一个用户建议的替代方案（这里有更多细节）是编写您的云服务器脚本以生成备份并使其可用，并编写您的备份 PC 以通过 SFTP 或 SCP (SSH) 连接以提取备份.

这可以很好地工作，但要锁定 SSH/SFTP 端口，以便只有您的备份 PC 可以访问它，使用有限访问帐户，并考虑一些相同的预防措施。例如，如果您的备份 PC 受到威胁怎么办？那么你的云服务器也被入侵了，等等。