Forum Debian Users Gang

Ja sobie tworzę repozytorium backup'u via borgbackup na VPS, a potem rsync takie repozytorium zaciągam z VPS'a.

najlepiej cały system plików

To akurat większego sensu nie ma, wszystkie Debiany na świecie mają takie same pakiety.

Backup vpsa:

#!/bin/bash

echo $$ >> /cgroup/net_cls/users/netout/tasks

VPSHOST="59.119.69.110";
BACKUPDIR="/home/Serwery/vpsNUMER.ovh.net/"
DBUSER="administrator";
DBPASS="E8zAN9XPlmbTXk5gB66zavCRbxlqRmflYPUdGScXymKY18tVIUknbiFqHirZZ4dz";


mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --all-databases |xz > $BACKUPDIR/mysqldb/all.sql.gz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --all-databases  --add-drop-table |xz > $BACKUPDIR/mysqldb/all-drop.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --add-drop-table mysql |xz > $BACKUPDIR/mysqldb/mysql-drop.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --add-drop-table mailsql |xz > $BACKUPDIR/mysqldb/mailsql.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction   --add-drop-table prosody |xz > $BACKUPDIR/mysqldb/prosody.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --add-drop-table spamd |xz > $BACKUPDIR/mysqldb/spamd.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --add-drop-table wordpress503 |xz > $BACKUPDIR/mysqldb/wordpress503.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --add-drop-table rmail1 |xz > $BACKUPDIR/mysqldb/rmail1.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --add-drop-table rmail2 |xz > $BACKUPDIR/mysqldb/rmail2.sql.xz
mysqldump --ssl -h $VPSHOST  -u $DBUSER  -p$DBPASS --single-transaction  --add-drop-table baikal1 |xz > $BACKUPDIR/mysqldb/baikal1.sql.xz

rsync -aAXvx --progress -e ssh $VPSHOST:/usr/local/sbin/ $BACKUPDIR/local/sbin/;
rsync -aAXvx --progress -e ssh $VPSHOST:/usr/local/bin/ $BACKUPDIR/local/bin/;
rsync -aAXvx --progress -e ssh $VPSHOST:/etc  $BACKUPDIR/etc/;
rsync -aAXvx --progress -e ssh $VPSHOST:/home/www/ $BACKUPDIR/www/;

Można wrzucić do CRONa, SSH lata po kluczach.
Mysql lata po SSL, ale do tego trzeba do serwera Mysql porobić certyfikaty SSL.

Pozdro

Ostatnio edytowany przez Jacekalex (2024-02-02 18:12:08)

W czasach RODO lepiej uważać z lokalnymi zrzutami bazy.
W Wordpresie to jeszcze problem nie jest, ale np Woocommerce, OpenCART, Prestashop czy Magentoo trzymają w bazie dane osobowe objęte ustawą.
Nawet adres email jest chroniony przepisami RODO.

Sama strona musi mieć dostęp do danych, trudno, ale backupy robię tak (tu Magento):

/usr/bin/mysqldump   --user=mage223 --password=BARDZO_TAJNE_HASEŁKO --single-transaction --quick --add-drop-table  --databases mage223 | /usr/bin/xz  |/usr/bin/gpg --batch --armor --encrypt --trust-model always --no-default-keyring --keyring /etc/keys/pacjent.pub --recipient pacjent@domena.tld >/home/backup/bazy/baza-mage223-pacjent@domena.tld-$(date +%Y-%m-%d_%H.%M.%S).gpg

W ten sposób zrzut bazy jest zaszyfrowany, można go odszyfrować lokalnie, na serwerze w ogóle nie ma klucza prywatnego pacjenta, tylko jego klucz publiczny.
Problematyczne może być backupowanie naprawdę dużej bazy, bo czasem skrypt nie daje takiego czasu procesora, żeby skończyć robotę (penie go trzeba trochę przeprojektować), co nie zmienia faktu, że zrzutów bazy bym na serwerze nie trzymał, tylko w {domu,biurze,chmurze}.

Pozdro

Jeśli przejmie kontrolę nad całym serwerem na poziomie roota to owszem.
Jeśli wbije się na konto innego usera systemowego, to może dostać dostęp do folderu backup, ale do samego serwera baz danych już niekoniecznie.

Wbicie do np WP backdoora c99 jest dużo prostsze, niż wbicie się na roota do systemu, gdzie input, output sieci jest kontrolowany przez FW, a zachowanie aplikacji kontrolowane przez AA.
Oczywiście lepiej byłoby, żeby wszystkie Presty , Magenta, OpenCarty czy Woocommerce szyfrowały dane osobowe w bazie jakimś bezpiecznym kluczem asymetrycznym, ale praktycznie jest to na razie bardzo trudne do wdrożenia.

Ostatnio edytowany przez Jacekalex (2024-04-01 00:39:26)

morfik napisał(-a):

No a jak ten backup jest robiony przez root'a i trzymany w katalogu do ktorego ten inny user nie ma dostępu? xD

Niby tak.
U mnie to by tak było, co prawda nie przez roota, bo ten powinien spać snem sprawiedliwego, tylko przez innego usera systemowego.
Ale jak stawiasz serwer dla osób "niezbyt technicznych" to oni mają różne wymagania, od których z punktu bezpieczeństwa osiwieć można.
Pomijam już fakt, kiedy zatrudniają jakiegoś harcerza, który dziedziczy po mnie serwer i zaczyna robić różne "ułatwienia", bo np szef chce backup bazy pobierać po https, bo Windows nie ma innych zbyt prostych opcji, a harcerz nie słyszał o secure_link czy autoryzacji https w Nginxie, bo on zna tylko Apache z Xamppa na Windows.

Niby drobiazg, ale katastrofa gotowa (jak wspomnieć np "głębokie ukrycie tajemnicy bankowej w PKO BP").

Reasumując biorę pod uwagę różne pozornie nie istotne problemy, które mogą się ujawnić w przyszłości.
Nie każdy posiadacz serwera WWW jest umysłowo gotowy na używanie różnych pancernych metod bezpieczeństwa.
Nie mówiąc o tym, żeby np do obsługi tego serwera WWW, zainstalował sobie na kompie w biurze obok Windowsa 10 także jakiegoś Linuxa, np Ubuntu czy Debiana, co może bardzo ułatwić mu życie, o ile się czegoś nauczy.

Ostatnio edytowany przez Jacekalex (2024-04-02 00:36:09)