V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
PolarBears
V2EX  ›  问与答

如何防止服务器备份被恶意删除?

  •  
  •   PolarBears · 2021-08-03 06:05:47 +08:00 · 1988 次点击
    这是一个创建于 1213 天前的主题,其中的信息可能已经有所发展或是发生改变。

    直接在服务器上做备份似乎无法防止如黑客入侵服务器后把备份文件删除。
    或者写入到备份服务器的参数被找到,比如备份完后执行同步把备份文件同步到备份服务器上,但被直接删除文件或替换空文件手动进行同步把备份服务器上的损坏掉。

    我想到的解决方法有两种:

    1. 备份服务器拥有要进行备份的服务器的只读权限,由备份服务器访问服务器文件来进行备份。
    2. 服务器上传到具有文件版本控制的存储上,如 MinIO 。

    请问大家是怎么样解决这个问题的?

    14 条回复    2021-08-03 17:03:47 +08:00
    msg7086
        1
    msg7086  
       2021-08-03 06:10:19 +08:00
    主服务器 → Google Drive → 冷备。
    singerll
        2
    singerll  
       2021-08-03 06:50:46 +08:00 via Android
    如果只是文件的话,用备份服务器主动拉主服务器文件。参考 rsync 。
    PolarBears
        3
    PolarBears  
    OP
       2021-08-03 07:04:08 +08:00
    @singerll 这个就是我想到的方法 1,目前我也有通过这种方式去做备份,rsync 设置免认证只读。不过这样存在一个问题就是会多出一份需要同步的目录的存储空间。或者服务器开 NFS 、SMB 共享让备份服务器直接访问文件,做增量备份这样就省下这部分空间。
    商用备份软件、备份一体机似乎是需要在系统上安装 agent,猜想这 agent 大概也是实现这样的功能吧。
    singerll
        4
    singerll  
       2021-08-03 08:14:37 +08:00 via Android
    @PolarBears 没看明白,rsync 直接用 ssh 渠道读源文件不就行了,每天定时备份打包,为什么还要多一份需要同步的目录空间?
    PolarBears
        5
    PolarBears  
    OP
       2021-08-03 08:37:55 +08:00
    @singerll 因为要使用其他备份软件做备份,不能只存留一份版本。
    无论先同步源到备份服务器再做备份还是先直接在源服务器上跑备份软件再对备份文件再同步都要额外需要多一部分空间才能进行。
    wanguorui123
        6
    wanguorui123  
       2021-08-03 09:23:06 +08:00
    定期自动冷备份
    XiLingHost
        7
    XiLingHost  
       2021-08-03 10:14:24 +08:00
    搞个磁带库做冷备
    celeron533
        8
    celeron533  
       2021-08-03 10:28:33 +08:00
    所以 NB 的运营都有磁带库
    以前呆过一家公司,自己有小机房,也就 4 个机柜。IT 每天拉杆箱上下班,带着每日备份的 10 卷磁带回家。
    dier
        9
    dier  
       2021-08-03 11:02:37 +08:00
    @PolarBears #5 没明白你的逻辑,既然是备份,当然需要多一部分空间用来存放数据呀?难道你是想既备份,备份还不占存储空间?
    Puteulanus
        10
    Puteulanus  
       2021-08-03 11:20:11 +08:00
    1 吧,有朋友以前呆过的公司就是这样,而且备份服务器的权限不给生产服务器的运维
    QHKZ
        11
    QHKZ  
       2021-08-03 11:27:35 +08:00
    可以备份到外部吗?比如这种服务: https://simplebackups.io/
    从外部服务器发起连接,安全性的话可以开个端口,限制流量种类(协议)和源什么的,这样也省了备份文件的空间。
    感觉不应该从本机主动发起任务,因为已经不安全了,从外部发起任务,本机被动应答,这种方式应该可以规避
    sggggy
        12
    sggggy  
       2021-08-03 11:55:37 +08:00
    备份服务器做成潜水艇模式,定期上浮备份,然后把数据再传输到云服务商的开放存储里(开文件版本管理),事情搞定后休眠,潜水潜下去,避免被网络扫描工具检测到。
    PolarBears
        13
    PolarBears  
    OP
       2021-08-03 16:58:02 +08:00
    @dier 因为存储资源有限,如果有足够的空间我也不在乎这点.但问题是有的地方三年前才淘汰一堆基本装的都是 140G 硬盘的服务器,而现在的服务器也基本插的都是 500G 硬盘.
    dier
        14
    dier  
       2021-08-03 17:03:47 +08:00
    @PolarBears #13 那你就用方法 1 。如果存储备份的位置在同一局域网还好,不是在同一局域网就做好安全策略
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5402 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:14 · PVG 16:14 · LAX 00:14 · JFK 03:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.