wurzel/fruitbasket
10
1
Fork 1
Code Issues 5 Pull requests Projects Releases Packages Wiki Activity

Sicherheit der Backups im Büro #19

New issue
Closed
opened 2023-01-20 16:19:53 +01:00 by emmdie · 6 comments
emmdie commented 2023-01-20 16:19:53 +01:00 (Migrated from github.com)
Copy link

Verschlüsselung, Zugriff, etc

Verschlüsselung, Zugriff, etc
Feliix42 commented 2023-01-26 11:33:21 +01:00 (Migrated from github.com)
Copy link

Aktuelles Sicherheitskonzept: Verschlüsselte Backups mittels borg. Ich weiß gerade of the top of my head nicht, ob der encryption key beim Backup liegt oder nicht. In jedem Fall wäre es ratsam, das System mit borg auf keyfile-blake2 aufzusetzen. Das macht physischen Zugriff auf die Backups weitestgehend nutzlos (aber macht bitte eine Kopie des Keyfiles). Weitere Security-Maßnahmen auf physischer Ebene werden schwierig, weil der Target-PC nun mal im Büro steht.

Aktuelles Sicherheitskonzept: Verschlüsselte Backups mittels `borg`. Ich weiß gerade of the top of my head nicht, ob der encryption key beim Backup liegt oder nicht. In jedem Fall wäre es ratsam, das System mit `borg` auf `keyfile-blake2` aufzusetzen. Das macht physischen Zugriff auf die Backups weitestgehend nutzlos (aber macht bitte eine Kopie des Keyfiles). Weitere Security-Maßnahmen auf physischer Ebene werden schwierig, weil der Target-PC nun mal im Büro steht.
rouven0 commented 2023-06-02 22:39:25 +02:00 (Migrated from github.com)
Copy link

Pläne und Ideen vom Admin-Treffen am 02. Juni 2023:

  • Borg hat sich bewährt und soll als Backuplösung beibehalten werden
  • Wir wollen Backup-space bei der AGDSN anfragen. Auch da sollen Backups wie es auch jetzt im Büro ist verschlüsselt sein.
### Pläne und Ideen vom Admin-Treffen am 02. Juni 2023: - Borg hat sich bewährt und soll als Backuplösung beibehalten werden - Wir wollen Backup-space bei der AGDSN anfragen. Auch da sollen Backups wie es auch jetzt im Büro ist verschlüsselt sein.
rouven0 commented 2023-06-28 13:52:42 +02:00 (Migrated from github.com)
Copy link

Updates vom 28. Juni 2023:

Die AGDSN betreibt Bacula Infrastruktur mit Magnetband als Datenträger. Dieses System dürfen wir mitbenutzen.

Für Nixos sollte das nicht zu Umständlich zu konfigurieren sein:
https://search.nixos.org/options?channel=23.05&type=packages&query=bacula-fd

Den Bacula Iirector verwaltet die AG. Wir konfigurieren also nur den File Daemon und bekommen die entsprechenden credentials gestellt.

Eventuelle nachteile:

  • Es ist nur ein Zugriff auf das Tape gleichzeitig möglich. Eventuell dauern restores lange.
  • Die Bacula nix config kann keine secret files. Wir müssten da noch etwas basteln damit das passwort nicht im nix store landet.

Verschlüsselung ist gerade noch ungeklärt. Aktueller Plan ist, der AG einfach zu vertrauen (die könnten eh einfach die Serverplatten ausbauen, der ist ja auch nicht verschlüsselt)

## Updates vom 28. Juni 2023: Die AGDSN betreibt Bacula Infrastruktur mit Magnetband als Datenträger. Dieses System dürfen wir mitbenutzen. Für Nixos sollte das nicht zu Umständlich zu konfigurieren sein: https://search.nixos.org/options?channel=23.05&type=packages&query=bacula-fd Den Bacula Iirector verwaltet die AG. Wir konfigurieren also nur den File Daemon und bekommen die entsprechenden credentials gestellt. ### Eventuelle nachteile: - Es ist nur ein Zugriff auf das Tape gleichzeitig möglich. Eventuell dauern restores lange. - Die Bacula nix config kann keine secret files. Wir müssten da noch etwas basteln damit das passwort nicht im nix store landet. Verschlüsselung ist gerade noch ungeklärt. Aktueller Plan ist, der AG einfach zu vertrauen (die könnten eh einfach die Serverplatten ausbauen, der ist ja auch nicht verschlüsselt)
fugidev commented 2023-06-28 15:50:15 +02:00 (Migrated from github.com)
Copy link

Verschlüsselung sollten wir auf jeden Fall machen, auch für die Serverplatten. Selbst wenn wir der AG vertrauen, haben ja auch andere Leute Zugriff auf den Serverraum. Und wir haben halt sensible Nutzerdaten drauf liegen.

Verschlüsselung sollten wir auf jeden Fall machen, auch für die Serverplatten. Selbst wenn wir der AG vertrauen, haben ja auch andere Leute Zugriff auf den Serverraum. Und wir haben halt sensible Nutzerdaten drauf liegen.
rouven0 commented 2023-06-28 18:44:30 +02:00 (Migrated from github.com)
Copy link

https://www.bacula.org/13.0.x-manuals/en/main/Data_Encryption.html

Sollte eigentlich machbar sein.

Die Quitte selbst zu verschlüsseln hat gerade noch das Problem dass man bei jedem reboot den Key eingeben muss. (Was aber über Proxmox zurzeit ein vertretbarer Aufwand ist)

https://www.bacula.org/13.0.x-manuals/en/main/Data_Encryption.html Sollte eigentlich machbar sein. Die Quitte selbst zu verschlüsseln hat gerade noch das Problem dass man bei jedem reboot den Key eingeben muss. (Was aber über Proxmox zurzeit ein vertretbarer Aufwand ist)
fugidev commented 2023-06-28 18:51:00 +02:00 (Migrated from github.com)
Copy link

Man kann auch im initramfs einen ssh server installieren und darüber das Passwort eingeben

Man kann auch im initramfs einen ssh server installieren und darüber das Passwort eingeben
👍 1
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
main
purgetunus
upgrade-24.05
monitoring
nix-remote
No results found.
Labels
Clear labels
No items
No labels
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: wurzel/fruitbasket#19
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?