"A probléma: Én alapelvből soha nem teszek ki SSH portot a nyílt internetre"
Nem kell hozzá nyílt net. Én alapvetően belső hálóban gondolkozok és egy alattomos kriptó vírusról, ami ha kihasznál egy sérülékenységet, amit elér, rombol. A legjobb, ha nem tudja elérni a backup szervert. Ennek egyik módja, ha a mentett gép nem éri el a backup szerver, akár még ping szinten sem.
"A WireGuard UDP-alapú "rejtőzködő kapu". tökéletes peremvédelmet ad, a támadók számára a szerverek nem is léteznek a hálózaton."
Belső hálozat ma már majdnem olyan veszélyes hely, mint a külvilág. A zero-trust elv egyre "divatosabb".
Szóval az alapelv az, hogy a backup szerver eléri a mentett hostot, de egy totálisan másik, elszeparált hálózatból. Azért tudja, mert a tűzfalban van egy new state szabály, ami ilyen irányba engedélyezi a kapcsolat felvételt és az established, related alapból megy a tűzfalon, tehát a válasz csomagok visszaérkeznek a mentett host->backup szerver irányba.
Mentett host -> backup szerver irányban viszont nincs new state engedélyezve, tehát kapcsolatot nem tud kezdeményezni, drop van. Nincs mese, bit szinten nem éred el a backup szervert arról a gépről, amit menteni kívánsz.
A backup géped egy kvázi titokban lévő szerver akár helyben egy független VLAN-ban vagy akár egy másik telephelyen, más IP tartományban.
Akkor tudják meg a kilétét, ha feltörik az egyik mentett hostot és a logokból látják, hogy minden hajnalban belép egy gép ide vagy az ssh authorized_keysből látják, hogy ide publikus kulccsal adott IP-vel bejöhet valami.
Ha ilyen feltört gépről ki is tudódik a backup szerver kiléte, a tűzfal miatt érintethetetlen marad. Ez a tűzfal lehet a hálózaton belül különböző hálózatokat elválasztó routeren + ráadásként a backup szerveren is lehet egy tűzfal. Ezért mondtam, hogy ez egy utolsó bástya. Ezt kiütni már nagyon nehéz.
Oké, hogy ez túlzásnak tűnik ma, és holnap? Ha kijön egy rendszer komponenst érintő sérülékenység? Én nyugodtan alszom minden éjjel. Több dolognak együtt kell borulnia, hogy elérjék a backupot. Ha nagyon elborult lennék, még időzítve az eth interfészt is down-ba tenném a backup szerveren 2 mentés között.
Ha még elborultabb lennék, egy előtte lévő buta switchet shelly okos konnektorról vezérelnék, amit lehet http:// api-ból vezérelni és a backup szerver élesztené az előtte lévő buta switchet, hogy legyen kapcsolata a hálózattal. Backup végén aztán ismét elszigetelődne. :)