在家为备份设置服务器是一个坏主意吗？

今天，我被一家托管服务提供商所烧毁，他们遇到了数据中心问题，他们声称他们进行备份，但是他们的备份已损坏，所以我丢失了一个网站，该网站已经在他们托管的两台不同的服务器上进行了备份。两台服务器均受到影响，因此数据消失了。遗憾的是，那个网站是我没有在本地备份的网站。

因此，我正在考虑购买小型廉价服务器和一些硬盘驱动器，以通过FTP进行定期备份。

问题是，与将具有FTP访问权限的服务器连接在同一网络/路由器上的计算机是否存在安全威胁？

在家中有一台服务器定期获取我所有客户网站的备份甚至是一个合理的想法吗？在这一点上，我觉得我必须自己做所有事情，因为有关第三方解决方案的许多故事都未能实现他们所声称的。

在家中有一台服务器定期获取我所有客户网站的备份甚至是一个合理的想法吗？

是的，只要您遵循一些预防措施

连接到与具有FTP访问权限的服务器相同的网络/路由器的计算机是否存在安全威胁？

是的，如果您不遵循某些预防措施

1. 如果我的云服务器受到威胁怎么办？然后，由于云服务器可以连接到我的家庭备份PC，因此它也可能受到威胁。
2. 如果我的家庭备用PC受到威胁怎么办？它可以访问什么？

因此，您基本上想降低任何一个系统受到损害的风险，同时还限制了攻击者在设法攻破其中一个/两个系统时将具有的访问权限。

预防措施

1. 不要使用FTP，因为可以不加密地传输凭据，可以在Linux机器上运行SSH服务器，并使用来连接/传输文件scp。替代方法-查找在Linux，Mac或Windows上运行的SFTP或SCP类型的服务器。
2. 使用受限的SSH帐户，该帐户仅对备份目录具有scp访问权限，并且仅具有足够的访问权限来发送备份。
3. 使用私钥进行身份验证
4. 通过上述步骤，如果您的远程云服务器被闯入并且私钥被盗，那么攻击者将只能访问他们已经可以访问的服务器的备份！
5. 运行具有NAT /端口转发和DMZ功能的防火墙（如果其ISP的WiFi路由器具有最新固件而没有已知漏洞，则甚至可以成为您的ISP的WiFi路由器-仔细检查-一些较旧的ISP路由器布满错误）
6. 将基于家庭的备份计算机放在DMZ中。这样，它就不容易访问您的任何其他计算机，因此，一旦受到威胁，就可以大大减少威胁。您可以将端口22从内部家庭网络转发到DMZ，并以更高的特权登录以进行管理/ scp。
7. 使用NAT /端口转发将随机的高TCP端口（例如55134）从您的公共IP转发到SSH服务-这将使该服务不那么容易被获取
8. 限制对防火墙的访问，以便转发的端口仅对您的远程云服务器可见
9. 请勿在备份计算机上放置任何机密数据，SSH私钥，密码等。这样一来，如果受到威胁，您就可以进一步减少攻击者可以访问的内容。
10. 使所有系统/服务保持最新状态-特别是在云服务器和备份PC上。漏洞总是会被发现，攻击者通常可以轻松利用这些漏洞，例如将基本访问转换为根级别访问。（例如https://dirtycow.ninja/）

此列表是理想的方案，应该可以帮助您考虑风险。如果您的ISP路由器不具有DMZ功能，并且您不想投资建立替代防火墙，那么您可能会对折衷方案感到满意（我个人对此不满意）-在这种情况下，将确保您所有内部网络PC上的基于主机的防火墙均处于活动状态，并使用强密码，要求对所有共享/服务进行身份验证等。

如另一位用户的建议（这里有更多详细信息）所建议的，另一种方法是编写您的云服务器脚本以生成备份并使它们可用，并编写备份PC脚本以通过SFTP或SCP（SSH）连接以提取备份。

这可能效果很好，但请锁定SSH / SFTP端口，以便只有您的备份PC可以访问它，使用受限访问帐户，并考虑一些相同的预防措施。例如，如果您的备用PC受到威胁怎么办？然后，您的云服务器也会受到威胁，等等。