Ahoj! Mám pár služeb, které chci zálohovat. Často to dělám ručně, tedy jednou za x týdnů stáhnu data a nahraju je někam bokem. Chtěl bych to automatizovat, tedy například napsat nějaký skript, který jednou za těch x týdnů zabalí data a nahraje je bokem sám. K tomu ale potřebuje přístup k tomu zálohovacímu úložišti (například formou nějakého tokenu), a z toho nejsem šťastný. Kdyby tu zálohovanou službu někdo hacknul, nelíbí se mně, že by přes ten zálohovací skript mohl dál získat nějakou formu přístupu i k zálohovacímu úložišti. Jak tohle řešíte? (Hypoteticky by se mně líbilo mít nějaký token, který je pouze pro přidávání nových dat, ale to ta moje zálohovací služba neumí – je to jen obyčejný soukromý S3 kyblík na Hetzneru.)
Zalohovaci script bezi jinde a ma “read” pristup na produkci a “write” pristup do kyblicku. Tedy utocnik pristupem k jednomu z nich nema instantni pristup vsude.
Pokud bys chtel jak popisujes “write only pristup”, muzes si zalohu po uploadu na “write” bucket” nejakou lambdou presunout jinam, kde k ni klic z produkce nebude mit write pristup.
4 Likes
Spuštění skriptu jinde mě nenapadlo, to je hezké řešení, díky!
Taky používám, jeden stroj vygeneruje zálohy, jiný je přesune třeba na šifrovaný rclone. Jen to datově hrozně bobtná 
2 Likes
V minulosti když jsem jako cíl používal Synology, tak tam přímo v oprávněních ke komerčnímu adresáři šlo nastavit že skupina uživatelů může vytvářet nové soubory, ale nemůže měnit existující.
Nějaký zálohovací sw s tím měl problém, potřeboval ty soubory během zálohy upravovat, tak jsem udělal skript co jedou denně všem souborům upravil oprávnění na readonly.
3 Likes