الويب العربي - احذري يا شركات الاستضافة من الباك اب الخارجي التلقائي

الويب العربي (http://www.arabwebtalk.com/index.php)

- إدارة وتشغيل السيرفرات (http://www.arabwebtalk.com/forumdisplay.php?f=80)

احذري يا شركات الاستضافة من الباك اب الخارجي التلقائي

في البداية ربما انه بات من المسلمات ان تمتلك اي شركة استضافة نسخ احتياطي خارجي لسيرفراتها لا بل وعلى العكس بات من الضروري ان يكون النسخ الاحتياطي الخارجي يقع بعيدا عن السيرفر الاصلي – جفرافيا - على الاقل بالاف الكيليو مترات وذلك تحسبا لوقوع اي كارثة طبيعية لا قدر الله. وكما انه اصبح من الواجب ان تحتفظ اي شركة استضافة بنسخ احتياطي لسيرفراتها على وحدات نسخ احتياطي محلية داخل مكاتبها.

وبما ان كل هذه الامور اصبحت ضرورية اصبح هناك الكثير من التقنيات لاجراء النسخ الاحتياطي منها SCP,RSYC , FTP, SFTP … الخ بل واصبح هناك برمجيات متخصصة في النسخ الاحتياطي، ومنها ما يتم بشكل يدوي ومنها ما يتم بشكل تلقائي. وانا هنا اتحدث اليوم عن تلك التقنيات التي تتم بشكل تلقائي باختلاف البروتوكول الذي يتم استخدامه.

ان من احد اشهر طرق النسخ الاحتياطي الخارجي التلقائي هو استخدام نظام المفاتيح (Keys) للربط بين السيرفر المنوي النقل منه والسيرفر المنوي النقل اليه ، بحيث يتم توليد مفتاح دخول ويتم الربط بين السيرفرين بحيث يتم السماح فيها بعد اجراء الربط للسيرفرين بتبادل البيانات دون الحاجة لادخال كلمات المرور في كل مرة.

ومثلا المتتبع للمثال الموجود على هذا الرابط:

http://www.howtoforge.com/linux_rdiff_backup

يلاحظ انه تم اجراء الربط بين السيرفر الاول السيرفر الذي سوف يتم نقل النسخ الاحتياطي الخارجي اليه ، وبعدها يمكننا مثلا استخدام الامر rsync وتزويده بمفتاح الدخول ليتم بعدها نقل الملفات بشكل الي.

فيمكن مثلا ان يتم وضع امر في ال crontab عند الساعة السادسة صباحا من كل يوم خمس بحيث يتم اجراء نقل الملفات الموجودة على السيرفر الى وحدة النسخ الاحتياطي الخارجي وبالتالي نكون ضمنا انه لدينا نسخ احتياطي خارجي للسيرفر لو حدث اي مكروه للسيرفر. ومنطقيا للوهله الاولى هذا امر ممتاز جدا فنحن بهذا نكون قد وفرنا نسخ احتياطي خارجي دون الحاجة لتدخل البشر وبشكل الي مجدول مسبقا.

ولكن دعنا فقط نستعرض السيناريو التالي: دخل احد المتسللين الى السيرفر وقام على حذف الملفات في السيرفر وانتبه لوجود عملية ربط بين السيرفر وبين وحدة النسخ الاحتياطي الخارجي فاستخدم المفتاح للوصول الى وحدة النسخ الاحتياطي الخارجي وقام على الدخول الى الوحدة وكذلك حذف جميع الملفات الموجودة عليها. انها كارثة الا توافقني الراي :) . ففضلا عن انه تسبب بفقدان البيانات من على السيرفر ايضا قد ازال البيانات من على وحدة النسخ الاحتياطي الخارجي كونه استطاع الحصول على المفتاح الذي يربط بينهما.

ان اي عملية نسخ احتياطي خارجي تلقائي لا يمكن ان تتم بهذا الشكل الا عن طريق نظام المفاتيح. لهذا فانه لا يمكن حماية المفتاح بكلمة مرور وحتى وان تم ذلك فلا يمكن جدولة عملية النسخ الاحتياطي الخارجي ان تتم بشكل تلقائي. اذا ما الحل؟

الحل هو: توقف عن استخدام النسخ الاحتياطي الخارجي التلقائي فورا ، ولا تربط بين سيرفراتك ووحدة النسخ الاحتياطي الخارجي نهائيا واجعلها معزولة دوما عنها ، فلو لا قدر الله حصل اختراق لاحد السيرفرات فلن يتم اختراق المساحة ايضا.

اذا كيف اقوم على اجراء النسخ الاحتياطي الخارجي؟

الطريقة الامثل والامن هي اجراء نقل للنسخ الاحتياطي باستخدام الطرق التقليدية ، فلو خصصت 30 دقيقة في الاسبوع لنقل النسخ الاحتياطي من السيرفر الى وحدة النسخ الاحتياطي فانك قد تكتشف فيما بعد انها كانت افضل 30 دقيقة في مشوار حياتك العملية.

لان عملية الربط بين السيرفرات وبين وحدات النسخ الاحتياطي قد تؤدي الى اختراق وحدة النسخ الاحتياطي في حال تم اختراق السيرفر ، ونحن هدفنا ان نقوم بتامين البيانات في حال حدثت اي عملية اختراق. فلو كانت عملية النقل تتم بشكل يدوي فلن يكون هناك اي عملية ربط بين الوحدة والسيرفر وبالتالي لا يمكن للمخترق الوصول الى وحدة النسخ الاحتياطي الخارجي في حال سيطر على السيرفر ونكون بهذا ضمنا على الاقل الخسارة الجزئية وليست الكلية.

ان هذه الفكرة هي نتيجة خبرة وممارسه هذا والله تعالى اعلم.

المصدر: http://irbidnet.com/index.php/2010/0...%D8%A8-%D8%A7/

يعطــــيك العافية اخــوي ..
وتســلم على الإيضـاح والتنبيه ..
تقديري لشخصك ..

بارك الله فيك اخوي

ابداااااااااع بارك الله فيك

يعطيك العافيه

جزاك الله كل خير أخى الغالى

يعطيك العافيه

موضوع هايل
بارك الله فيك

تسلم الايادى يا غالى

بارك الله فيك

مشكووووووووووور ياغالى

مشكور على الشرح اخي الكريم

فكرتك جيدة وكلامك مضبوط ولكن ....
ماذا عن الشركات الكبري مثل مايكروسوفت وياهو وهوتميل ؟؟؟
هل تعتقد ان لديهم الوقت للاخذ باك اب بشكل تقليدي لهذا الكم الهائل من البيانات ؟
لا اعتقد ذلك
بالنسبة لنا نقوم بأخذ الباك اب بطريقة تجمع بين التقليدية والغير تقليدية
سوف نقوم بشرحها بمشيئة الله فور توافر الوقت
مشاركتك فوق الممتازة اخ محمد واثارات الانتباة لهذة النقطة الخطيرة فى امن المعلومات .

إقتباس:

اقتباس من مشاركة NicEgypt (المشاركة 746551)

جزاكم الله خيرا
وفي انتظار الشرح

اذا كانت عندك مساحة خارجية متسقلة للباك اب الخارجى لديك بشركتك

فانصحك بأستخدام lftp

وضعة في الكرون تاب يقوم السيرفر بعمل باك اب كامل وهذا الأمر يقوم بعد عملية الباك اب الكامل لكلل اليوزرات الموجودة بالسيرفر بعمل نسخ منها وارسالها للمساحة الخارجية

تحياتى لك

إقتباس:

اقتباس من مشاركة احمد فرج (المشاركة 748103)

اشكر الزملاء الذين تفاعلوا مع الموضوع واستفادوا منه واخص بالذكر الاخ

NicEgypt
وكلامك صحيح بالنسبة لياهو وجوجل ولكن مثل تلك الشركات هي خارج الحلقة تماما ، اذ ان لها سياسات واقسام كاملة منفصلة وطاقم كامل للنسخ الخارجي

ان فكرة وجود مفتاح يربط بين السيرفر وبين وحدة النسخ الاحتياطي وبقاء هذا المفتاح على السيرفر دوما سوف يؤدي بلا شك لجعلهما وحده واحدة ، كون الوصول مسموح بينهما طوال الوقت ولهذا فان دخول غير شرعي لاحدهما يعني ان دخولا غير شرعيا محتما للاخرى سوف يتم وهذا هو مربط الفرس :) ان صح التعبير.

بالنسبة لرد الاخ احمد فرج ، ان كانت طريقة الربط او الوصول بين الوحدتين (السيرفر ووحدة النسخ الاحتياطي الخارجي) تتم عن طريق نظام المفاتيح مع ابقاء تلك المفاتيح مخزنة دوما على السيرفر سوف تؤدي بلاشك الى اختراق الوحدة الاخرى في حال تم اختراق الوحدة الاولى لا قدر الله.

بالرغم من ان هذا الموضوع ليس شائكا ولكنه مقلق ، حيث ان من احد اهداف النسخ الاحتياطي الخارجي هو تامين البيانات في حال تم اختراق السيرفر ، ولكن ماذا لو كان المخترق يستطيع الوصول الى وحدة النسخ الاحتياطي الخارجي في حال اخترق السيرفر؟ هذا هو السؤال الذي يجب ان نبحث له عن اجابه.

يعطيك العافيه على الشرح الرائع ..