安全的异地备份，即使在黑客具有root用户访问权限的情况下

我正在寻找一种实现非安全备份的更安全方式的方法，该方法还可以保护我的数据免遭恶意黑客获得对我的服务器的根访问权限的情况。如果正确设置了SSH和密码安全性并正确地保持了系统的最新状态，即使发生这种情况的机会比其他种类的风险要小，但是可以永久造成的损失确实很高，因此我想要找到一种解决方案来限制这一点。

我已经尝试了两种异地备份方式：

• 一个简单的可根写入的webdav挂载（并在fstab中配置），将备份的数据复制到该挂载上。问题：并不是真正的非现场备份，因为与非现场位置的连接（以及访问权限）一直作为文件系统中的文件夹保持打开状态。如果该安装具有有限的访问权限（只读的root用户访问权限），但它不能防止具有root用户访问权限的恶意用户，这足以抵御多种攻击。

• 通过具有密钥身份验证的SSH进行Borg备份。问题：如果恶意用户具有对主机的根访问权限，则可以使用存储在主机上的密钥来完成与该异地服务器的连接。

作为解决方案，我正在考虑这些潜在的方法，但是我不知道该如何做以及如何做：

• 备份只能写入或附加到目标，而不能删除。
• 使用可处理异地备份的备份软件，并且不支持从第一台主机中大量删除异地备份。

在我的情况下，并不是很有趣的解决方案：

• 非现场主机上的额外备份作业会将其转移到第一台主机无法访问的位置（由于技术限制）。

谁能为我的案例提供适当的异地备份建议？

当前，您的所有建议都有一个共同点：备份源执行备份并有权访问备份目标。无论您是安装位置还是使用SSH或rsync之类的工具，源系统都可以以某种方式访问​​备份。因此，对服务器的损害也可能会损害您的备份。

如果备份解决方案可以访问服务器怎么办？备份系统可以通过只读访问来完成其工作，因此备份系统上的任何损害都可能不会损害服务器。同样，备份系统也可以专门用于此目的，从而使备份的内容成为唯一的攻击手段。那将是非常不可能的，并且需要真正复杂的攻击。

为避免使用篡改或损坏的内容覆盖备份，请执行增量备份，以使您可以在定义的恢复期内恢复任何先前的状态。

不变的存储

一个不错的选择是使您的备份存储不可变，或者至少提供可靠的版本控制，从而使您有效地保持不变。要明确：不变是指无法更改或永久不变。

有多种服务可以为您做到这一点。AWS S3，BackBlaze B2和我怀疑Azure和Google都提供了类似的服务。您可能可以设置服务器来执行此操作，但是我不确定如何执行此操作。

当您拥有不可变的/版本控制的存储库时，可以将备份还原到任何位置，因此，如果主机受到威胁，您仍可以在任何时间点还原。

* AWS S3 **

我最熟悉AWS S3。S3提供了版本化的加密存储，具有高度的耐用性。

S3支持版本控制，从而为您提供有效的不变性。在可以配置的时间段后，您可以选择使用生命周期规则删除文件的旧版本。您还可以将版本存档到冷存储（冰川冷存档），每月费用约为1美元/ TB。

您可以使用智能存储分层类来降低成本。我选择使用生命周期规则将所有静态数据移动到不频繁访问的类，这是持久的，中等的（热）性能，但不具有S3标准的可伸缩性或性能。

S3使用IAM（身份访问管理，即用户管理）用户和策略。这使您可以非常精细地控制备份软件可以对存储执行的操作。您可以授予备份用户上载的权限，但拒绝更新和删除。您还可以要求多重身份验证来删除文件，甚至提供对象锁定，以使文件无法删除。

推荐软件

我使用Restic创建增量备份。Restic将新文件上传到您的存储位置。我相信（但我可能不正确）它会创建新文件，但在一般操作中，它不会更新或删除任何文件。

博格是另一个选择。我曾经使用过Borg，但是我发现通过进行数百MB的中等大小的备份，它每天可以有效地将我的所有数据从EC2上传到S3。对我来说这不是增量的，所以我停止使用它。我确实找到了有关此文档，但是没有链接。

有很多软件可以上传到云存储。

受保护的存储

使用某些备份软件，您可以尝试授予IAM用户写入新文件的权限，但不能更新现有文件。使用AWS IAM进行此限制很容易，但是根据下面的注释，Restict不适用于这些权限。您还可以具有从S3删除文件所需的多因素身份验证。

您可能有另一个IAM用户，从您的PC运行，它会定期清理存档，并按照您设置的策略丢弃版本。

Borg Backup支持仅追加远程存储库。备份服务器的任何妥协只能导致创建新的备份，而不会仅覆盖旧的备份。

在我的情况下，并不是很有趣的解决方案：

非现场主机上的额外备份作业会将其转移到第一台主机无法访问的位置。

根本的问题是，如果您可以远程访问备份，那么黑客也可以。

（由于技术限制）

克服了技术限制。

谁能为我的案例提供适当的异地备份建议？

磁带驱动器近70年来一直在提供针对各种灾难（包括黑客）的安全的异地保护。

您可以使用存储服务，例如AWS S3（或者可能是Google或Azure的等效产品），在其中您可以为根帐户授予存储桶的PUT权限，但不能授予DELETE权限。这样，您可以使用推送模型，攻击者将无法删除备份。

您可以使用AWS采取进一步的安全措施，例如要求MFA在存储桶上执行DELETE，但允许没有MFA的PUT和GET。这样，您既可以备份数据又可以检索数据以恢复服务，而无需使用MFA设备，这在某些极端的情况下很有用（甚至可能太晦涩，甚至无法提及），在这种情况下访问MFA设备可能会损害数据。

同样，您可能会发现一个有趣的/有用的范围外注释，有几种方法可以配置S3和类似服务以在主数据源脱机的情况下进行自动故障转移。

通过具有密钥身份验证的SSH进行Borg备份。问题：如果恶意用户具有对主机的根访问权限，则可以使用主机上存储的密钥来完成与该异地服务器的连接。

您可以在authorized_keys中使用选项命令。您修复了远程允许的命令。

如何在sshauthorized_keys中添加命令

即使攻击者恢复了登录根，他也将无法执行已定义命令以外的任何其他操作。

您可以设置的一种方法是在服务器与远程备份服务器之间使用同步，并让远程备份服务器对其进行快照或执行任何操作，以使擦除服务器端不会导致异地擦除。