Vraag

maandag 8 juli 2019 14:53

Acties:
  • 0 Henk 'm!
  • JJ White
  • Registratie: September 2012
  • Laatst online: 10-09 09:13

JJ White

Prutser Eerste Klas

Topicstarter
Beste tweakers,

Ik ben voor mezelf een offsite backup server in elkaar aan het knutselen bestaande uit een SBC met Armbian en een USB HDD voor opslag. Omdat dit een offsite backup is staat deze natuurlijk niet onder hetzelfde LAN en wil ik de backup via het internet doen.

Na wat uitzoeken ben ik op Rsync over SSH gekomen als oplossing, hierbij heb ik keyboard login voor SSH uitgeschakeld zodat alleen met een keypair ingelogd kan worden, die alleen op mijn locale NAS en de remote server aanwezig zijn.

Als ik de remote server dan op een ander adres neerzet forward ik een poort, niet poort 22, naar de ssh poort op mijn server.

Is dit een veilige manier om dit aan te pakken en is er een manier om te valideren?

Ander advies is ook altijd welkom ;)

Beste antwoord (via JJ White op 08-07-2019 15:11)

maandag 8 juli 2019 14:58

  • borft
  • Registratie: Januari 2002
  • Laatst online: 15:55

borft

Opzich is het een prima oplossing (check even dat je ssh keys wel sterk genoeg zijn). Dingen die je nog zou kunnen toevoegen:
- ip whitelist (op firewall niveau, maar ook op ssh-key niveau)
- evt VPN gebruiken voor de verbinding
- ssh op een andere port draaien (helpt niet heel veel)
- ssh root login uitschakelen
- uiteraard een non privileged user gebruiken voor de login

Alle reacties

maandag 8 juli 2019 14:58

Acties:
  • Beste antwoord
  • +4 Henk 'm!
  • borft
  • Registratie: Januari 2002
  • Laatst online: 15:55

borft

Opzich is het een prima oplossing (check even dat je ssh keys wel sterk genoeg zijn). Dingen die je nog zou kunnen toevoegen:
- ip whitelist (op firewall niveau, maar ook op ssh-key niveau)
- evt VPN gebruiken voor de verbinding
- ssh op een andere port draaien (helpt niet heel veel)
- ssh root login uitschakelen
- uiteraard een non privileged user gebruiken voor de login

maandag 8 juli 2019 15:00

Acties:
  • +1 Henk 'm!
  • Aragnut
  • Registratie: Oktober 2009
  • Laatst online: 20:54

Aragnut

ssh zorgt voor een encrypted data verbinding en heeft daarbij ook host authentication. Net zoals dat je de public/private key hebt voor het inloggen, slaat je client de public host key op om later te controleren of hij nog wel met hetzelfde systeem praat.

Zoals borft aanhaalt is het wel van belang om goede keypairs te gebruiken en alles uit te zetten in de sshd_config wat je niet nodig hebt (zoals port forwarding, x forwarding etc.)

maandag 8 juli 2019 15:01

Acties:
  • +3 Henk 'm!
  • mcDavid
  • Registratie: April 2008
  • Laatst online: 09-09 17:48

mcDavid

vergeet fail2ban niet. voor de rest, weinig mis mee idd.

Overigens zou ik me voordat je zelf gaat lopen rsyncen, eens kijken wat er zoal aan kant-en-klare backup tools beschikbaar zijn die je dingen als versiebeheer, incremental backups, end-to-end encryptie, etc. allemaal uit handen nemen. Noem een Duplicity/Duplicati etc.

maandag 8 juli 2019 15:10

Acties:
  • 0 Henk 'm!
  • JJ White
  • Registratie: September 2012
  • Laatst online: 10-09 09:13

JJ White

Prutser Eerste Klas

Topicstarter
Dit zijn de antwoorden waar ik naar op zoek was!

Bedankt voor de tips, ik ga nog een aantal dingen uitzoeken voordat ik dit zaakje aan het internet hang.

maandag 8 juli 2019 15:24

Acties:
  • +1 Henk 'm!
  • powerboat
  • Registratie: December 2003
  • Laatst online: 23:11

powerboat

Je kan dual-factor authenticatie toepassen middels de google-authenticator ;)

maandag 8 juli 2019 16:35

Acties:
  • +2 Henk 'm!
  • BonJonBovi
  • Registratie: Oktober 2010
  • Niet online

BonJonBovi

Daarnaast kan het nuttig zijn om in je firewall alleen de connecties uit landen vanwaaruit jij verbinding zal maken (bijv. alleen Nederland of België) toe te staan. Dan stop je aan de voorkant al een hoop pogingen van kwaadwillenden.

woensdag 10 juli 2019 13:03

Acties:
  • 0 Henk 'm!
  • ray0755
  • Registratie: Juni 2010
  • Laatst online: 03-09 13:34

ray0755

Waar je ssh nog wat veiliger mee kan maken, zijn de opties AllowUser en het gebruik van een key in combinatie met een password in de sshd config.

donderdag 11 juli 2019 21:51

Acties:
  • +3 Henk 'm!
  • jurroen
  • Registratie: Mei 2012
  • Laatst online: 14:49

jurroen

Security en privacy geek

Ik gebruik persoonlijk liever SSH dan VPN, voor data uitwisseling en versleutelde verbindingen :-)

Een aantal tips:
  • Stel SSH op een andere poort in. Voegt qua veiligheid niets toe, maar voorkomt dat je logs vollopen door portscans en enumerations op de standaard poort.
  • Schakel root toegang uit.
  • Genereer sterke keys (bijvoorbeeld ssh-keygen -b 8192), stel die in voor je user en schakel 'PasswordAuthentication' uit.
  • Zet 'LogLevel' op VERBOSE.
  • Tenzij je ze gebruikt, schakel X11Forwarding, TcpForwarding, AgentForwarding en UseDNS uit.
  • Geef de backup user geen shell en overweeg om 'ForceCommand' in te stellen zodat de backup user alleen kan rsyncen.
  • Overweeg om de user te voorzien van een chroot, eventueel kun je na de backup een script draaien die de files verplaatst naar een pad buiten de chroot - zodat de backup user niet bij oude backups kan.
  • Stel fail2ban in, eventueel met notificatie en een ban via de firewall.
  • Update dit systeem ook regelmatig.
En er is nog veel meer wat je kunt doen, zoals IDS/IPS, regelmatige event auditting, regelmatig checken op malware, externe logging, etc. Maar dat gaat wellicht wat ver ;)

Ongevraagde verzoeken per DM beantwoord ik niet, sorry

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq