A kérdés az, hogy mire kell elsősorban "lőni". Ha arra, hogy a mentőszerverre bejutva ne lehessen hozzáférni az összes mentett adathoz, akkor a szerver mentések elrakásához használatos publikus kulcsát használva titkosítja a mentést a kliens, és úgy másolja fel egy, az adott klienshez dedikált userrel egy adott mappába, mondjuk ssh/scp használatával (.authorized_keys-ben korlátozva a szerveren végezhető tevékenység).
A mentőszerver jelszóval védett privát kulcsa a szerveren nincs ott, az két helyre offline elrakva (két pendrive), plusz célszerűen QR-kód formájában nyomtatva szintén páncélszekrénybe zárva.
Ha arra _is_ kell készülni, hogy bejut valami disznóság _és_ az ssh/scp kapcsolatot a mentőszerveren kezelő kódban kihasználható jogosultságnövelő exploit van, és ezt egy kártékony kód ki tudja használni, akkor valóban, a megoldás az, hogy a szerver "húzza" magára mentéseket, amiket a kliens készít el és titkosít, és titkosítást követően tesz elérhetővé a mentőszerver számára. Ebben az esetben a mentőszerver nem azért lesz kívánatos célpont, mert ott van minden mentés olvasható formában, hanem azért, mert onnan mindenhova _is_ be lehet látni valamilyen mértékben - és ha egy mentett szerveren van lehetősége kihasználni olyan sérülékenységet a támadónak, amivel akárcsak egy helyi usert meg tud személyesíteni, már "bentebb van" a hálózatodban.