在家里build立一个服务器备份是一个坏主意？

有一个合理的想法，让家里的服务器定期备份我所有的客户网站吗？

是的，只要你遵循一些预防措施

我的计算机连接在同一个networking/路由器上的服务器是否有安全威胁？

是的，如果你不遵循一些预防措施

1. 如果我的云服务器受到威胁呢？ 那么很可能我的家用备份电脑也会受到影响，因为云服务器可以连接到它。
2. 如果我的家庭备份电脑受到威胁会怎么样？ 它有什么用途？

所以你基本上想要降低任何一个系统被攻陷的风险，同时也限制了攻击者在任何一个/两个方面都能妥协的情况下会有什么样的访问。

注意事项

1. 不要使用FTP，因为可以不encryption地传输证书，在Linux机器上运行SSH服务器，并使用scp连接/传输文件。 替代方法 – find在Linux，Mac或Windows上运行的SFTP或SCPtypes的服务器。
2. 使用有限的SSH帐户，只有scp访问备份目录，并且只有足够的访问权才能发送备份。
3. 使用私钥进行身份validation
4. 通过以上步骤，如果您的远程云服务器被攻破并且私钥被盗，那么攻击者将只能访问他们已经访问的服务器的备份！
5. 运行具有NAT /端口转发和DMZfunction的防火墙（如果最新的固件没有已知的漏洞，甚至可能是您的ISP的WiFi路由器 – 仔细检查一下 – 一些旧的ISP路由器充满了bug）
6. 将您的家用备份计算机放在DMZ中。 通过这种方式，它不会轻易访问任何其他计算机，因此如果受到威胁，可以显着降低威胁。 您可以将端口22从您的内部家庭networking转发到DMZ，并以更高的权限login以pipe理/ scp目的。
7. 使用NAT /端口转发将随机高TCP端口（例如55134）从您的公共IP转发到您的SSH服务 – 这将使服务不太容易拾取
8. 限制对防火墙的访问，以便转发的端口只对远程云服务器可见
9. 不要在您的备份计算机上放置任何机密数据，SSH私钥，密码等。 这样，如果攻击者进一步减less了攻击者的访问权限，
10. 保持所有系统/服务保持最新状态 – 特别是在云服务器和备份电脑上。 漏洞总是被发现，攻击者通常很容易被利用，例如将基本访问权限转变为根级访问权限。 （例如https://dirtycow.ninja/ ）

这份清单是理想的情况，应该帮助您考虑风险。 如果您的ISP路由器没有DMZfunction，并且您不想投资build立另一个防火墙，那么您可能会对妥协感到高兴（我个人不会对此感到满意） – 在这种情况下，我将确保基于主机的防火墙在所有内部networkingPC上处于活动状态，并且强密码需要对所有共享/服务等进行身份validation。

另一种方法，如其他用户所build议的（这里有一些更详细的内容）是脚本化你的云服务器以产生备份并使它们可用，并且脚本备份PC通过SFTP或SCP（SSH）连接来提取备份。

这样可以很好地工作，但是lockingSSH / SFTP端口，以便只有您的备份PC可以访问它，使用有限的访问帐户，并考虑一些相同的预防措施。 例如，如果你的备份电脑被盗用？ 那么你的云服务器也会受到威胁等