Sicherheitsaspekte bei Backup über ftp-Filesystem

[zerobyte]

Hallo mal wieder.
1und1 schlägt ja für den Zugriff auf den externen Backupspace das mounten per ftp-Filesystem vor. Allerdings habe ich bei ftp wegen der Klartextpassworte immer so meine Bedenken.
Umgekehrt ist dieser Traffic ja interner Traffic im 1und1-Netz und sollte bei geeigneter Konfiguration von keinem anderen Kunden abhörbar sein.

Was meint ihr dazu( unabhängig vom konkreten Betreiber)?

@Admins: falls dieser Thread besser nach Security passen sollte dann bitte dorthin verschieben

[tuxi]

Du wirst nur nicht allzuviel andere Möglichekiten haben, um an deinen Backupspace zu kommen?!

[zerobyte]

Du wirst nur nicht allzuviel andere Möglichekiten haben, um an deinen Backupspace zu kommen?!

Andere Möglichkeiten nicht, aber ich kann

a) gar keinen Backupspace verwenden

b) dort nur verschlüsselte und signierte Dateien ablegen

Da der Login vom Backupspace vermutlich ungleich dem root-Passwort des Servers ist wären die Möglichkeiten für einen Angreifer schon mal eingeschränkt.

[realspiderman]

Genau aus diesem Grund habe ich reoback ein bisschen abgeaendert.

Es kann jetzt automatisch die Dateien verschluesseln. Signieren wird leider nicht gehen, da man sonst den Private Key ohne Passphrase ablegen muesste und das ist IMHO eine SEHR schlechte Idee.

[chris76]

Genau aus diesem Grund habe ich reoback ein bisschen abgeaendert.

Es kann jetzt automatisch die Dateien verschluesseln. Signieren wird leider nicht gehen, da man sonst den Private Key ohne Passphrase ablegen muesste und das ist IMHO eine SEHR schlechte Idee.

Ich (und andere User wahrscheinlich auch) würden es begrüßen wenn du uns "deine" Version mal zugänglich machst.

Ciao Christian

[realspiderman]

Gemach, ein bisschen Zeit braucht es schon noch. Aber vielleicht schaffe ich es heute Abend noch das Restore-Skript fertigzustellen, dann veroeffentliche ich meine Version mal.

Ciao (auch) Christian

[chris76]

Hi Namenskollege, da warte ich doch gerne :)

Ciao Christian

[realspiderman]

So, jetzt gibt es da was.

reoback-1.2.tar.gz

March 19 2004: Version 1.2 Release 1
=================================

- FTP and NFS Transfers don't need a local copy of the tar
file. This is a Huge space saver.

- GPG encryption for use with untrusted, remote backup space.

- filedb for better file modification detection (Also MD5 Hashing)

- reorestore script

- other minor improvements

Die Dokumentation der neuen reoback-Funktionen findet sich hauptsaechlich im conf-file bei den neuen optionen.
Das reorestore script dokumentiert sich selbst, wenn man es ohne optionen aufruft.

[captaincrunch]

Da muss ich doch direkt wieder mal rummaulen:

Die Idee finde ich ja richtig prima, aber warum muss es jetzt unbedingt ein Fork werden? Wäre es nicht sinniger gewesen, dem Reoback-Autor Patches zukommen zu lassen, damit möglichst alle etwas davon haben?

[realspiderman]

Schlaumeier, genau das werde ich tun. ;-)
Erstmal wuerde ich das ganze aber hier einem begrenzten Publikum zur Verfuegung stellen, damit der eine oder andere Bug noch gefunden wird.

Aber trotzdem halte ich es fuer unwahrscheinlich, dass bei einem 2 Jahre alten Projekt noch der original Maintainer Interesse daran hat regelmaessig Patches zu integrieren. Vor allem wenn sie recht umfangreich sind. Deshalb habe ich mich vom Programmierstil und teilweise auch bei der Dokumentation daran gehalten was der original Maintainer so gemacht hat. Dann kann er vielleicht ein beherztes cvs ci verantworten.

[captaincrunch]

OK, in dem Fall will ich nichts gesagt haben. ;)

[chris76]

@realSpiderman,
Danke ich werde es am montag gleich mal testen.

Gruß Christian

[zerobyte]

Signieren wird leider nicht gehen, da man sonst den Private Key ohne Passphrase ablegen muesste und das ist IMHO eine SEHR schlechte Idee.

ACK - als ich das mit dem signieren geschrieben habe hab ich wieder mal übersehen, dass die Verschlüsselung und das signieren ja auch remote passieren müsste. Ich hab diese Art von Backup bisher nur im "Handbetrieb" von zu Hause aus eingesetzt (Webspace als Backupspace "missbraucht") und dort die Files eben noch zusätzlich signiert um sicherzustellen, dass mir niemand gefälschte Files unterschieben kann.

Ich werd mir dein Tool mal anschauen, wenn ich Zeit dafür finde.

[unique]

@realSpiderman

hallo,

ich würde mich ja auch von die von dir veränderte version interressieren - leider funktioniert der link nicht mehr... wär super, wenn du das tool nochmal online stellen könntest...

dank im vorraus

gruss unique

[realspiderman]

Sorry, das war mein Fehler. Jetzt funktioniert der Link wieder.

Gruss
Christian