Backup beskyttelse mod kompromitterede klienter

Mener du med ACL udvidelser kan sætte et filsystem op så en bruger får append only rettigheder og dermed ikke kan overskrive/slette men kun tilføje nye filer.

Ja, er det muligt?

Jeg rodede lidt med getfacl og setfacl, men kunne ikke sætte nogle append-only entries.
Til gengæld fandt jeg lsattr og chattr hvor jeg kunne sætte en append-only attribute med:
chattr +a dir

Jeg har dog ikke fundet ud af at gøre sådan, at append-only kun gælder for den bruger der uploader. Ligenu gælder det også for root, hvilket er lidt et problem når gamle backups skal slettes.

Hele emnet er jo et "oldgammelt" IT administrativt spørgsmål. Root skal have fuld adgang, og brugeren skal kunne arbejde uhindret.

Bliver bruger profilen kompromitteret, ja så er der et alvorligt problem for den pågældende bruger, og eventuelt også for andre profiler inklusiv netværks admin.

Det løses bl.a. med redundant backup. Slettes noget fra brugerens diskspace, kan det genskabes fra den redundante backup. Ellers skal brugerdata beskyttes på sædvanlig vis, ved periodevis ændring af passwords og eventuel antimalware og firewall, og brugeren holdes ansvarlig for egen sikkerhed og almindelig omgang med sine profiloplysninger, såvel som internetopførsel.

Alt af brugerens arbejde SKAL gemmes på en domæne controller, aldrig lokalt på arbejdsstationen, om det så er krypteret eller ej.

Med andre ord; det kan ikke løses med UNIX (eller NTFS) sikkerhed alene, men må nødvendigvis inkludere redundans, i et eller flere af begrebets mange muligheder.

Man kan jo også bare lave et jail som den enkelte bruger kommer ind i og som alle andre (bortset fra root selvfølgeligf) har adgang til. Jeg ved hvordan man gør det over almindelig FTP men ikke med SFTP måske er der andre der kan forklare det. Altså sådan at man kommer ind i sin helt egen mappe og at denne af klienten opfattes som / altså rod uden overmapper.

Een af gruindend til hjeg har fravalgt SFTP er at pure-ftp understøtter denne mulighed men den har vist ikke SFTP-mulighed. Nå ja man kan jo altid køre FTP igennem en SSH-tunnel så er sikkerhedsproblemet jo løst hvis man er paranoid nok til det.

#7
Det er også muligt med sftp ved at lave et ChrootDirectory-direktiv i sshd_config og bruge rssh til at mindske shell-adgang. Problemet er istedet, at hvis en klient kompromitteres, hvordan sikres så klientens backup'ede data?

Jeg har løst det ved at hver bruger løbende sync'er sine data til deres egen mappe på serveren vha. SSH + Unison (eller rsync), hvorefter *root* på serveren laver diff-backup af brugerens mappe hver time/dag/måned og gemmer data andetsteds på serveren.

Vha. "mount --bind" mountes root's backup-mappe for brugeren i brugerens eget bibliotek. Her har brugeren kun læserettigheder. Dermed vil en kompromittering eller fejlagtig sletning aldrig kunne ødelægge mere end den nyeste backup. Samtidig kan hver bruger selv genskabe sine gamle data, uden indblanding fra root/administrator, ved blot at forbinde med et grafisk SCP/SFTP program og downloade gamle backups fra read-only mappen.

Fordelen ved at benytte unison fremfor rsync, er desuden at brugeren kan have flere klienter og benytte Unison's to-vejs sync til at holde mapperne i sync på klienterne (laptop, desktop, osv), hvor alle klienter sync'er mod den centrale server ved opstart og nedlukning (samt evt. undervejs).

#Kenni
Lyder som en god løsning. Vil jeg bestemt kigge nærmere på. Tak skal du have

Jeg tror i leder efter chattr og lsattr, her kan man sætte filer(directories og alm filer) til at være +a (append only) og +i immutable.

eks.
mkdir test
sudo chattr +a test
touch test/hej1
touch test/hej2

$ rm test/hej2
rm: kan ikke fjerne 'test/hej2': Operationen er ikke tilladt


lsattr test
-----a-----------e- test/hej1
-----a-----------e- test/hej2

og nej,, du kan heller ikke tilføje linier til filerne det skelner den tilsyneladende ikke mellem,, sikkert fordi unix filer er bytestream orienterede og ikke record orienterede .

Men du kan slf redigere filen udenfor append-only dir og flytte det dertil.

echo 'bleh blah bluh' > hej3
mv hej3 test