Sicherheit der Backups im Büro #19
Loading…
Add table
Reference in a new issue
No description provided.
Delete branch "%!s()"
Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?
Verschlüsselung, Zugriff, etc
Aktuelles Sicherheitskonzept: Verschlüsselte Backups mittels
borg
. Ich weiß gerade of the top of my head nicht, ob der encryption key beim Backup liegt oder nicht. In jedem Fall wäre es ratsam, das System mitborg
aufkeyfile-blake2
aufzusetzen. Das macht physischen Zugriff auf die Backups weitestgehend nutzlos (aber macht bitte eine Kopie des Keyfiles). Weitere Security-Maßnahmen auf physischer Ebene werden schwierig, weil der Target-PC nun mal im Büro steht.Pläne und Ideen vom Admin-Treffen am 02. Juni 2023:
Updates vom 28. Juni 2023:
Die AGDSN betreibt Bacula Infrastruktur mit Magnetband als Datenträger. Dieses System dürfen wir mitbenutzen.
Für Nixos sollte das nicht zu Umständlich zu konfigurieren sein:
https://search.nixos.org/options?channel=23.05&type=packages&query=bacula-fd
Den Bacula Iirector verwaltet die AG. Wir konfigurieren also nur den File Daemon und bekommen die entsprechenden credentials gestellt.
Eventuelle nachteile:
Verschlüsselung ist gerade noch ungeklärt. Aktueller Plan ist, der AG einfach zu vertrauen (die könnten eh einfach die Serverplatten ausbauen, der ist ja auch nicht verschlüsselt)
Verschlüsselung sollten wir auf jeden Fall machen, auch für die Serverplatten. Selbst wenn wir der AG vertrauen, haben ja auch andere Leute Zugriff auf den Serverraum. Und wir haben halt sensible Nutzerdaten drauf liegen.
https://www.bacula.org/13.0.x-manuals/en/main/Data_Encryption.html
Sollte eigentlich machbar sein.
Die Quitte selbst zu verschlüsseln hat gerade noch das Problem dass man bei jedem reboot den Key eingeben muss. (Was aber über Proxmox zurzeit ein vertretbarer Aufwand ist)
Man kann auch im initramfs einen ssh server installieren und darüber das Passwort eingeben