TLS bacula паранойя

0

1

Bacula Director и Storage Daemon развернуты в локалке на машине с серым ip. На него бекапятся сервера из локалки.

Так же есть один отдельно стоящий веб-сервер с внешним ip. На нем клиент bacula. Он бекапится с использованием сертификата. Опции:

TLS Certificate = /etc/bacula/ssl/server.domain.ru.crt
TLS Key = /etc/bacula/ssl/server.domain.ru.key
TLS CA Certificate File = /etc/bacula/ssl/ca.crt

Соответственно на шлюзе правило открывающее порт 9103 (bacula-sd) для ip этого веб-сервера.

Вопрос: Чем грозит такая схема, если злой дядя рутанет веб-сервер, и соответственно получит доступ к конфигу клиента бакулы и сертификатам?

Ссылка

←	Усиленная квалифицированная подпись в сети, не имеющей выхода в интернет.

блокировка/разблокировка десктопа

→

Дядя получит: возможность заливать бекапы с неправильными данными; возможность расшифровывать траффик, использующий те же ключи

Может быть, получит возможность залить такое количество бекапов, что настоящие сдохнут по ротации - тут смотреть надо, sd принимает от клиента любой бекап или только если он был инициирован director.

З.Ы. Бакула сдохла, переползайте на bareos: Bacula RIP. Long live Bareos

selivan ★★★
(11.02.14 13:36:19 MSK)

Ответ на: комментарий от selivan 11.02.14 13:36:19 MSK

Оппа! Только настроил бэкапы :) И на тебе ... Ну посмотрим - мож одумаются еще, чтото перестраивать лениво.

black_13 ★
(17.02.14 14:09:57 MSK)

Ответ на: комментарий от black_13 17.02.14 14:09:57 MSK

Просто вместо обновления бакулы до следующей версии переползай на bareos. Они обратно совместимы в одну сторону, то есть можно сначала на fd bareos завести, а потом уже на dir и sd.

selivan ★★★
(17.02.14 16:11:37 MSK)