Sicherheit der Backups im Büro #19

Closed
opened 2023-01-20 16:19:53 +01:00 by emmdie · 6 comments
emmdie commented 2023-01-20 16:19:53 +01:00 (Migrated from github.com)

Verschlüsselung, Zugriff, etc

Verschlüsselung, Zugriff, etc
Feliix42 commented 2023-01-26 11:33:21 +01:00 (Migrated from github.com)

Aktuelles Sicherheitskonzept: Verschlüsselte Backups mittels borg. Ich weiß gerade of the top of my head nicht, ob der encryption key beim Backup liegt oder nicht. In jedem Fall wäre es ratsam, das System mit borg auf keyfile-blake2 aufzusetzen. Das macht physischen Zugriff auf die Backups weitestgehend nutzlos (aber macht bitte eine Kopie des Keyfiles). Weitere Security-Maßnahmen auf physischer Ebene werden schwierig, weil der Target-PC nun mal im Büro steht.

Aktuelles Sicherheitskonzept: Verschlüsselte Backups mittels `borg`. Ich weiß gerade of the top of my head nicht, ob der encryption key beim Backup liegt oder nicht. In jedem Fall wäre es ratsam, das System mit `borg` auf `keyfile-blake2` aufzusetzen. Das macht physischen Zugriff auf die Backups weitestgehend nutzlos (aber macht bitte eine Kopie des Keyfiles). Weitere Security-Maßnahmen auf physischer Ebene werden schwierig, weil der Target-PC nun mal im Büro steht.
rouven0 commented 2023-06-02 22:39:25 +02:00 (Migrated from github.com)

Pläne und Ideen vom Admin-Treffen am 02. Juni 2023:

  • Borg hat sich bewährt und soll als Backuplösung beibehalten werden
  • Wir wollen Backup-space bei der AGDSN anfragen. Auch da sollen Backups wie es auch jetzt im Büro ist verschlüsselt sein.
### Pläne und Ideen vom Admin-Treffen am 02. Juni 2023: - Borg hat sich bewährt und soll als Backuplösung beibehalten werden - Wir wollen Backup-space bei der AGDSN anfragen. Auch da sollen Backups wie es auch jetzt im Büro ist verschlüsselt sein.
rouven0 commented 2023-06-28 13:52:42 +02:00 (Migrated from github.com)

Updates vom 28. Juni 2023:

Die AGDSN betreibt Bacula Infrastruktur mit Magnetband als Datenträger. Dieses System dürfen wir mitbenutzen.

Für Nixos sollte das nicht zu Umständlich zu konfigurieren sein:
https://search.nixos.org/options?channel=23.05&type=packages&query=bacula-fd

Den Bacula Iirector verwaltet die AG. Wir konfigurieren also nur den File Daemon und bekommen die entsprechenden credentials gestellt.

Eventuelle nachteile:

  • Es ist nur ein Zugriff auf das Tape gleichzeitig möglich. Eventuell dauern restores lange.
  • Die Bacula nix config kann keine secret files. Wir müssten da noch etwas basteln damit das passwort nicht im nix store landet.

Verschlüsselung ist gerade noch ungeklärt. Aktueller Plan ist, der AG einfach zu vertrauen (die könnten eh einfach die Serverplatten ausbauen, der ist ja auch nicht verschlüsselt)

## Updates vom 28. Juni 2023: Die AGDSN betreibt Bacula Infrastruktur mit Magnetband als Datenträger. Dieses System dürfen wir mitbenutzen. Für Nixos sollte das nicht zu Umständlich zu konfigurieren sein: https://search.nixos.org/options?channel=23.05&type=packages&query=bacula-fd Den Bacula Iirector verwaltet die AG. Wir konfigurieren also nur den File Daemon und bekommen die entsprechenden credentials gestellt. ### Eventuelle nachteile: - Es ist nur ein Zugriff auf das Tape gleichzeitig möglich. Eventuell dauern restores lange. - Die Bacula nix config kann keine secret files. Wir müssten da noch etwas basteln damit das passwort nicht im nix store landet. Verschlüsselung ist gerade noch ungeklärt. Aktueller Plan ist, der AG einfach zu vertrauen (die könnten eh einfach die Serverplatten ausbauen, der ist ja auch nicht verschlüsselt)
fugidev commented 2023-06-28 15:50:15 +02:00 (Migrated from github.com)

Verschlüsselung sollten wir auf jeden Fall machen, auch für die Serverplatten. Selbst wenn wir der AG vertrauen, haben ja auch andere Leute Zugriff auf den Serverraum. Und wir haben halt sensible Nutzerdaten drauf liegen.

Verschlüsselung sollten wir auf jeden Fall machen, auch für die Serverplatten. Selbst wenn wir der AG vertrauen, haben ja auch andere Leute Zugriff auf den Serverraum. Und wir haben halt sensible Nutzerdaten drauf liegen.
rouven0 commented 2023-06-28 18:44:30 +02:00 (Migrated from github.com)

https://www.bacula.org/13.0.x-manuals/en/main/Data_Encryption.html

Sollte eigentlich machbar sein.

Die Quitte selbst zu verschlüsseln hat gerade noch das Problem dass man bei jedem reboot den Key eingeben muss. (Was aber über Proxmox zurzeit ein vertretbarer Aufwand ist)

https://www.bacula.org/13.0.x-manuals/en/main/Data_Encryption.html Sollte eigentlich machbar sein. Die Quitte selbst zu verschlüsseln hat gerade noch das Problem dass man bei jedem reboot den Key eingeben muss. (Was aber über Proxmox zurzeit ein vertretbarer Aufwand ist)
fugidev commented 2023-06-28 18:51:00 +02:00 (Migrated from github.com)

Man kann auch im initramfs einen ssh server installieren und darüber das Passwort eingeben

Man kann auch im initramfs einen ssh server installieren und darüber das Passwort eingeben
Sign in to join this conversation.
No labels
No milestone
No project
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: wurzel/fruitbasket#19
No description provided.