我正在寻找一种实现非安全备份的更安全方式的方法,该方法还可以保护我的数据免遭恶意黑客获得对我的服务器的根访问权限的情况。如果正确设置了SSH和密码安全性并正确地保持了系统的最新状态,即使发生这种情况的机会比其他种类的风险要小,但是可以永久造成的损失确实很高,因此我想要找到一种解决方案来限制这一点。
我已经尝试了两种异地备份方式:
一个简单的可根写入的webdav挂载(并在fstab中配置),将备份的数据复制到该挂载上。问题:并不是真正的非现场备份,因为与非现场位置的连接(以及访问权限)一直作为文件系统中的文件夹保持打开状态。如果该安装具有有限的访问权限(只读的root用户访问权限),但它不能防止具有root用户访问权限的恶意用户,这足以抵御多种攻击。
通过具有密钥身份验证的SSH进行Borg备份。问题:如果恶意用户具有对主机的根访问权限,则可以使用存储在主机上的密钥来完成与该异地服务器的连接。
作为解决方案,我正在考虑这些潜在的方法,但是我不知道该如何做以及如何做:
- 备份只能写入或附加到目标,而不能删除。
- 使用可处理异地备份的备份软件,并且不支持从第一台主机中大量删除异地备份。
在我的情况下,并不是很有趣的解决方案:
- 非现场主机上的额外备份作业会将其转移到第一台主机无法访问的位置(由于技术限制)。
谁能为我的案例提供适当的异地备份建议?