二重性:悪意のあるユーザーがバックアップを台無しにするのを防ぐ方法

二重性:悪意のあるユーザーがバックアップを台無しにするのを防ぐ方法

私は保守しているほとんどすべてのホストでDuplicityを使用して、リモートの場所(「バックアップホスト」と呼ばれる)のバックアップを作成します。

フルバックアップまたは増分バックアップの頻度とタイミングは、ホストとそのユースケースによって異なります。

一般的なエラー(人のミス、ハードウェア/ソフトウェアなど)から身を守るだけでなく、潜在的な攻撃からも回復する必要があります。

私の場合は、SSH / SFTPバックエンドを使用してこれらの冗長バックアップを実行します。冗長性を確保するには、バックアップホストへの読み取り/書き込みアクセスが必要なため、バックアップされているホストの制御権限を取得した人は、バックアップホストに接続してそのバックアップを削除/混乱させることがあります。

それにもかかわらず、バックアップホストはバックアップホストのファイルも削除する必要があることを理解しています。スペースが不足しないように、バックアップホストはしばしば - および - ジョブを使用して古いバックアップを削除するために二重remove-all-but-n-full性を呼び出します。remove-all-inc-of-but-n-full

私が知っている限り、バックアップ(バックアップを含む)のため、バックアップホスト自体はこのクリーンアップを実行できません。どのファイルがどのコレクションに属しているかについてのメタデータが暗号化され、対応する秘密鍵(GPG)がバックアップホストに存在しない冗長性です。

したがって、バックアップホストでこのタイプのクリーンアップを実行するには、ファイルタイムスタンプに基づいて実行する必要があり、これは破損または部分的なバックアップセットを引き起こす可能性があります。

現在、これらの攻撃から自分自身を「保護」するためにプライマリバックアップホストに定期的に接続する2番目のバックアップホストがあります。このホストは、プライマリバックアップホストのすべてのバックアップデータをセカンダリバックアップホストに同期します。

しかし、再び上記の問題に直面しています。

  • 構造を理解していないまま、プライマリホストから2番目のバックアップホストにファイルをコピーしています(完了していないファイル、サブセットなどをコピーしています)。
  • スペースが不足しないようにするには、ファイルタイムスタンプのみに基づいて古いバックアップを再度削除する必要があるため、バックアップセットが使用できなくなる可能性があります。

攻撃者が作成したバックアップに触れることなく、バックアップするホストへのフルアクセス権を持つようにしながら、冗長性を介してバックアップするホストを自動的にバックアップする最もエレガントできれいな方法は何ですか?

ありがとうございます!

関連情報