|
|
 | Hvem skal tage backup af hvem?
Fra : Jimmy |
Dato : 10-11-03 18:46 |
|
Hej
Jeg har følgende setup:
Firewall (RH 8.0) med følgende services:
- Samba
- IPtables
Webserver (RH 8.0)
- Apache
- PHP
- MySQL
FW, som afvikler Samba, er min filserver, og er således den, som skal
opbevare backups af min webserver.
Jeg ser to muligheder:
1 - Lade FW hente en backup af webserveren via SCP
2 - Lade webserveren SCP en backup ned på FW
Jeg kan bare ikke finde ud af hvad der er mest sikkert.
På den ene side er FW jo den en hacker først møder og han har i scenarie 1
fri adgang til webserveren, hvis FW kan tage backup af den
På den anden side er webserveren (som dog ligger bag FW) vel mere udsat, da
den afvikler Apache?
Hvad mener I?
Mvh
Jimmy
| |
 Troels Arvin (10-11-2003)
| Kommentar
Fra : Troels Arvin |
Dato : 10-11-03 20:22 |
|
On Mon, 10 Nov 2003 18:46:28 +0100, Jimmy wrote:
> Jeg kan bare ikke finde ud af hvad der er mest sikkert.
Måske der ikke er nogen betydelig forskel. Hvad med at have en helt
tredie maskine, der kun tager backups (suger fra de andre), og som ikke
kan tilgås over nettet (ikke lytter på porte) og står fysisk placeret
et helt andet sted end de andre maskiner (således at du ikke er på
spanden efter brand, tyveri, vand- eller el-skade)?
I øvrigt synes jeg ikke, at scp er et godt backup-software-valg. Kig i
stedet på rsync (let) eller rdiff-backup (sværere, men bedre).
--
Greetings from Troels Arvin, Copenhagen, Denmark
| |
Jimmy (10-11-2003)
| Kommentar
Fra : Jimmy |
Dato : 10-11-03 21:10 |
|
"Troels Arvin" <troels@arvin.dk> wrote in message
news:pan.2003.11.10.19.22.28.273476@arvin.dk...
> On Mon, 10 Nov 2003 18:46:28 +0100, Jimmy wrote:
>
> > Jeg kan bare ikke finde ud af hvad der er mest sikkert.
>
> Måske der ikke er nogen betydelig forskel. Hvad med at have en helt
> tredie maskine, der kun tager backups (suger fra de andre), og som ikke
> kan tilgås over nettet (ikke lytter på porte) og står fysisk placeret
> et helt andet sted end de andre maskiner (således at du ikke er på
> spanden efter brand, tyveri, vand- eller el-skade)?
Enig - Ville være en langt mere stabil løsning.
Problemet med den er, at min ADSL har 50k/s i upstream og den ville hurtigt
blive træt af de GB der skal igennem hver dag.
Jeg er dog helst fri for en tredie (evt lokal) maskine, da jeg har maskiner
nok.
Alternativt skulle det være en der startede op hver nat, tog backup og
slukkede igen 
> I øvrigt synes jeg ikke, at scp er et godt backup-software-valg. Kig i
> stedet på rsync (let) eller rdiff-backup (sværere, men bedre).
Enig - Anvender rdiff på een af maskinerne, men det er nu rart at få pakket
det hele ned med tar og lagt på en anden maskine/disk.
Mvh
Jimmy
| |
Christian E. Lysel (10-11-2003)
| Kommentar
Fra : Christian E. Lysel |
Dato : 10-11-03 23:23 |
|
In article <V9Qrb.4337$_y2.449@news.get2net.dk>, Jimmy wrote:
> Jeg har følgende setup:
>
> Firewall (RH 8.0) med følgende services:
> - Samba
> - IPtables
>
> Webserver (RH 8.0)
> - Apache
> - PHP
> - MySQL
>
>
> FW, som afvikler Samba, er min filserver, og er således den, som skal
> opbevare backups af min webserver.
I det ovenstående kan jeg ikke hvad du bruger firewallen til.
Der fremgår ikke hvad du bruger filserveren til.
MySQL kan du fx få til at lytte på 127.0.0.1
> Jeg ser to muligheder:
> 1 - Lade FW hente en backup af webserveren via SCP
> 2 - Lade webserveren SCP en backup ned på FW
>
> Jeg kan bare ikke finde ud af hvad der er mest sikkert.
Hvad skal sikres?
> På den ene side er FW jo den en hacker først møder og han har i scenarie 1
Hvorfor?
Den fil der bliver overført fra webserveren kan godt være fra en bruger uden
rettigheder. Backupen kan endvidere være krypteret så den er ubruglig for
en ukendt modtager.
> fri adgang til webserveren, hvis FW kan tage backup af den
>
> På den anden side er webserveren (som dog ligger bag FW) vel mere udsat, da
> den afvikler Apache?
Ja.
> Hvad mener I?
At du roder tingende sammen, en firewall bør være så simpel som muligt, og
ikke kører en filserver.
| |
Jimmy (11-11-2003)
| Kommentar
Fra : Jimmy |
Dato : 11-11-03 07:05 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbr03ul.9mn.chel@weebo.dmz.spindelnet.dk...
> In article <V9Qrb.4337$_y2.449@news.get2net.dk>, Jimmy wrote:
> > Jeg har følgende setup:
> >
> > Firewall (RH 8.0) med følgende services:
> > - Samba
> > - IPtables
> >
> > Webserver (RH 8.0)
> > - Apache
> > - PHP
> > - MySQL
> >
> >
> > FW, som afvikler Samba, er min filserver, og er således den, som skal
> > opbevare backups af min webserver.
>
> I det ovenstående kan jeg ikke hvad du bruger firewallen til.
Den skal beskytte sig selv og computerne bag den.
> Der fremgår ikke hvad du bruger filserveren til.
Dele filer med.
> MySQL kan du fx få til at lytte på 127.0.0.1
OK - hvilken forskel gør det?
> > Jeg ser to muligheder:
> > 1 - Lade FW hente en backup af webserveren via SCP
> > 2 - Lade webserveren SCP en backup ned på FW
> >
> > Jeg kan bare ikke finde ud af hvad der er mest sikkert.
>
> Hvad skal sikres?
Mine data på filserveren og webserveren.
> > På den ene side er FW jo den en hacker først møder og han har i scenarie
1
>
> Hvorfor?
> Den fil der bliver overført fra webserveren kan godt være fra en bruger
uden
> rettigheder. Backupen kan endvidere være krypteret så den er ubruglig for
> en ukendt modtager.
>
> > fri adgang til webserveren, hvis FW kan tage backup af den
> >
> > På den anden side er webserveren (som dog ligger bag FW) vel mere udsat,
da
> > den afvikler Apache?
>
> Ja.
>
> > Hvad mener I?
>
> At du roder tingende sammen, en firewall bør være så simpel som muligt, og
> ikke kører en filserver.
Det er ikke et spørgsmål om at ændre min opsætning, men blot et spørgsmål om
at finde ud af hvem der skal tage backup af hvem med de givne
forudsætninger.
Mangler der information for at man kan tage stilling til dette?
Mvh
Jimmy
| |
 Christian E. Lysel (11-11-2003)
| Kommentar
Fra : Christian E. Lysel |
Dato : 11-11-03 08:15 |
|
In article <o__rb.1550$xW3.896@news.get2net.dk>, Jimmy wrote:
>> I det ovenstående kan jeg ikke hvad du bruger firewallen til.
>
> Den skal beskytte sig selv og computerne bag den.
De computere som ikke er med i dit design?
Kan du ikke starte forfra med at fortælle hvad du vil?
>> Der fremgår ikke hvad du bruger filserveren til.
>
> Dele filer med.
Med hvem?
Alle brugerne på Internettet, udvalgte brugere på
Internet, brugere på Internet der kører VPN med en
nøgle du har givet dem, er din webserver en af brugerne,
har du måske et 3. segment du ikke har fortalt om?
>> MySQL kan du fx få til at lytte på 127.0.0.1
>
> OK - hvilken forskel gør det?
Det er et lokalt interface der ikke kan ses via det fysiske netværk
(forudsat du har slået ip forwarding fra)
Hvis du smider webserveren på internettet kan et af
problemmerne være at MySQL lytter på et internet interface.
Dette kan løses ved at få det til at lytte på 127.0.0.1, localhost
interfacet.
Nu er din webserver lige så godt beskyttet som den ville
være med en firewall!
Hvis det ikke er nok for dig kan du slå iptables til på webserveren.
>> > Jeg ser to muligheder:
>> > 1 - Lade FW hente en backup af webserveren via SCP
>> > 2 - Lade webserveren SCP en backup ned på FW
>> >
>> > Jeg kan bare ikke finde ud af hvad der er mest sikkert.
>>
>> Hvad skal sikres?
>
> Mine data på filserveren og webserveren.
Er din backup en del af dataerne på filserveren?
Hvordan er den fysiske sikkerhed, er det nemmer at
sjæle dataerne fysisk end at finde et hul i apache?
>> > Hvad mener I?
>> At du roder tingende sammen, en firewall bør være så simpel som muligt, og
>> ikke kører en filserver.
> Det er ikke et spørgsmål om at ændre min opsætning, men blot et spørgsmål om
> at finde ud af hvem der skal tage backup af hvem med de givne
> forudsætninger.
Du spørger om min mening.
> Mangler der information for at man kan tage stilling til dette?
Du spøger til hvad der er sikrest, men er ligeglad med at
bryde et klassisk princip om at holde firewall installatioen
simpel.
>
> Mvh
> Jimmy
>
>
| |
Jimmy (11-11-2003)
| Kommentar
Fra : Jimmy |
Dato : 11-11-03 08:29 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbr132s.3p5.chel@weebo.dmz.spindelnet.dk...
> In article <o__rb.1550$xW3.896@news.get2net.dk>, Jimmy wrote:
> >> I det ovenstående kan jeg ikke hvad du bruger firewallen til.
> >
> > Den skal beskytte sig selv og computerne bag den.
>
> De computere som ikke er med i dit design?
>
> Kan du ikke starte forfra med at fortælle hvad du vil?
Jeg tror jeg dropper det her, og vælger scenarie 2, hvor webserveren har
adgang til FW og selv sender sin kopi ned.
Tak for hjælpen med MySQL og 127.0.0.1
Mvh
Jimmy
| |
Jesper G. Poulsen (14-11-2003)
| Kommentar
Fra : Jesper G. Poulsen |
Dato : 14-11-03 15:40 |
|
In article <slrnbr132s.3p5.chel@weebo.dmz.spindelnet.dk>,
news.sunsite.dk@spindelnet.dk says...
> Kan du ikke starte forfra med at fortælle hvad du vil?
Det virker nu ganske klart for mig.
> > Dele filer med.
> Med hvem?
Tsk-tsk...
--
Med venlig hilsen/best regards
Jesper G. Poulsen
http://www.netmeister.org/news/learn2quote2.html
| |
Christian E. Lysel (15-11-2003)
| Kommentar
Fra : Christian E. Lysel |
Dato : 15-11-03 10:52 |
|
In article <MPG.1a1f078b43a674498a951@news.tele.dk>, Jesper G Poulsen wrote:
> In article <slrnbr132s.3p5.chel@weebo.dmz.spindelnet.dk>,
> news.sunsite.dk@spindelnet.dk says...
>> Kan du ikke starte forfra med at fortælle hvad du vil?
> Det virker nu ganske klart for mig.
Jeg har også et billed af hvordan han "nok" har sat det op.
Men det virker ikke klart for mig, da han ikke har
bekræftet mit billed.
Jeg gider ikke at komme med gode råd om det setup,
der måske ikke afspejler virkerligheden, for så
er rådet intet værd!
>> > Dele filer med.
>> Med hvem?
>
> Tsk-tsk...
Hvilke af følgende brugere vil han dele filer med,
og hvorfor virker det klart på dig, kender du ham
personligt?
Alle brugerne på Internettet, udvalgte brugere på
Internet, brugere på Internet der kører VPN med en
nøgle du har givet dem, er din webserver en af brugerne,
har du måske et 3. segment du ikke har fortalt om?
| |
|
|