Como faço para proteger meus backups de rsync?

Pelo que entendi, o principal problema é que você configurou o processo rsync para ser iniciado a partir do "lado errado". Seu servidor de backup deve ser aquele que está iniciando a conexão e tendo uma conta no seu servidor de produção, e não vice-versa.

Dessa forma, você não precisaria de uma conta no servidor de backup acessível a partir de (e em quais credenciais ou tokens de acesso são armazenados) o servidor de produção mais exposto.

Naturalmente, isso levanta a questão do possível impacto de uma interrupção no servidor de backup, mas você pode limitar a capacidade do usuário de quebrar coisas - usando um daemon rsync no servidor de produção com um compartilhamento somente leitura. para as coisas para fazer backup seria uma opção fácil de fazê-lo.

Existem algumas camadas de segurança que você pode criar.

Não permita o acesso de servidores vulneráveis para proteger servidores

O servidor da Web deve ser considerado vulnerável, portanto, você deve limitar a possibilidade de acesso de saída do servidor da Web para o servidor de backup. A recuperação de dados deve ser iniciada a partir do servidor de backup usando uma conta limitada somente leitura.

Limite a superfície de ataque

Você deseja ter o menor número possível de serviços e pontos de acesso no seu servidor da web. Uma abordagem é criar um ponto de preparação: enviar dados do servidor da Web para um servidor de armazenamento temporário (que também deve ser considerado vulnerável) e, em seguida, enviar esses dados para o servidor de backup para protegê-los.

Eu não sei qual hardware você tem disponível, mas há várias opções. O primeiro seria colocar os dados em uma fita ou alguma outra forma de mídia que pode ser colocada offline. Pode nem sempre levar de volta a revisão mais recente, mas você teria os dados em algum lugar off-line, no caso de um ataque. A segunda opção seria um sistema secundário de "backup" que mantém uma cópia dos dados. Você poderia remotamente rsync os dados "para baixo" para essa caixa, por isso, se alguém entrou, eles não poderiam facilmente chegar ao seu backup (manter as senhas, chaves, etc. diferentes em ambos os sistemas e manter-se com patches). Ambos pressupõem que você pode obter mais algum hardware (ou até mesmo um servidor virtual na opção 2). Qualquer coisa no mesmo sistema teria que ser considerada suspeita se estivesse comprometida.