Ik ben aan het zoeken om een backup NAS (netwerk-technisch) zo veilig mogelijk te maken. Ik zou SSH/rsync gebruiken om in te loggen op remote machines die ik dan vanuit de backup NAS backup. Dan zou ik met de firewall alle inkomende connecties gewoon droppen.
Ik heb op de NAS op de UART connecties een serieel naar USB convertor gesoldeerd, dus USB-kabel gewoon aansluiten op de workstation die ernaast staat, naar de workstation SSH-en, en met screen heb ik zo een root shell if need be. Als ik dan echt wat werk heb, tijdelijk ff sshd aan zetten en dan kan ik wat makkelijker werken.
Weet iemand of dit idee gaat werken? Vindt het rsync-protocol het OK dat - vanuit de backup nas gezien dan - de inkomende connecties worden gedropped? Ik vermoed dat het vanuit een netwerk-perspectief gewoon een uitgaande TCP connectie is ondenks dat data wordt binnen getrokken. Dus uitgaande rsync/SSH connecties gaan nog steeds werken zou ik denken. Andersom sowieso niet, maar dat is ook heel erg hard de bedoeling
En misschien nog een vraagje: zijn er nog scenarios te bedenken hoe iemand over het netwerk toch op die NAS zou kunnen geraken? Het is en blijft een aangesloten en live systeem natuurlijk
code:
1
| iptables -P INPUT DROP |
Ik heb op de NAS op de UART connecties een serieel naar USB convertor gesoldeerd, dus USB-kabel gewoon aansluiten op de workstation die ernaast staat, naar de workstation SSH-en, en met screen heb ik zo een root shell if need be. Als ik dan echt wat werk heb, tijdelijk ff sshd aan zetten en dan kan ik wat makkelijker werken.
Weet iemand of dit idee gaat werken? Vindt het rsync-protocol het OK dat - vanuit de backup nas gezien dan - de inkomende connecties worden gedropped? Ik vermoed dat het vanuit een netwerk-perspectief gewoon een uitgaande TCP connectie is ondenks dat data wordt binnen getrokken. Dus uitgaande rsync/SSH connecties gaan nog steeds werken zou ik denken. Andersom sowieso niet, maar dat is ook heel erg hard de bedoeling
En misschien nog een vraagje: zijn er nog scenarios te bedenken hoe iemand over het netwerk toch op die NAS zou kunnen geraken? Het is en blijft een aangesloten en live systeem natuurlijk