- Mitglied seit
- 05. Sep 2012
- Beiträge
- 3.242
- Punkte für Reaktionen
- 586
- Punkte
- 174
Ich wollte eigentlich @Crashandy erwähnen@luddi: ich war das nicht, das war schon so
Sorry für die Verwirrung liebe Leute
C2 Storage vs. Hetzner Storage Box
- Ersteller guidovg
- Erstellt am
Sorry für die Verwirrung liebe Leute
- Mitglied seit
- 05. Sep 2012
- Beiträge
- 3.242
- Punkte für Reaktionen
- 586
- Punkte
- 174
Dann ist es wohl klar weshalb man nicht die maximal verfügbare Bandbreite erreicht. Die Datei muss ja zuerst einmal aus dem Archiv extrahiert werden. Die Ansicht im Backup Browser ist schließlich nur ein Index der einem angezeigt wird.
Datensammler
Benutzer
- Mitglied seit
- 04. Aug 2012
- Beiträge
- 477
- Punkte für Reaktionen
- 9
- Punkte
- 24
Ein Punkt fehlt mir in dieser Diskussion der mich noch von einem Wechsel von C2 zu Hetzner abhält:
Bei C2 ist mein Account mit einer 2FA abgesichert und ich kann selbst ein starkes Passwort festlegen.
Hingegen ist bei Hetzner in der ssh/rsync Variante das Passwort mittelmäßig und nicht frei wählbar. 2FA fehlt gänzlich. Public Key Verfahren geht, soweit ich weiß, nur schwer oder gar nicht.
Meine Sorge ist nun, dass ein Angreifer per ssh in aller Ruhe Passwörter ausprobieren kann und dann Zugriff auf mein Backup erhält. Weiß jemand, ob Hetzner die Anmeldeversuche limitiert?
Natürlich ist das Backup schon clientseitig verschlüsselt und die Daten hoffentlich wertlos ohne zugehörige Passphrase.
Bei C2 ist mein Account mit einer 2FA abgesichert und ich kann selbst ein starkes Passwort festlegen.
Hingegen ist bei Hetzner in der ssh/rsync Variante das Passwort mittelmäßig und nicht frei wählbar. 2FA fehlt gänzlich. Public Key Verfahren geht, soweit ich weiß, nur schwer oder gar nicht.
Meine Sorge ist nun, dass ein Angreifer per ssh in aller Ruhe Passwörter ausprobieren kann und dann Zugriff auf mein Backup erhält. Weiß jemand, ob Hetzner die Anmeldeversuche limitiert?
Natürlich ist das Backup schon clientseitig verschlüsselt und die Daten hoffentlich wertlos ohne zugehörige Passphrase.
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 14.180
- Punkte für Reaktionen
- 4.915
- Punkte
- 519
- Mitglied seit
- 25. Nov 2022
- Beiträge
- 2.429
- Punkte für Reaktionen
- 1.196
- Punkte
- 224
Das Passwort ist frei wählbar, man kann auch separate User anlegen - ich meine, dass es sogar Pflicht zur Passwortänderung gab.
Ist länger her, kann ich morgen mehr dazu sagen. Bare Metal stimmt natürlich auf direktem Weg - kann man aber eventuell über ein anderes Tool hochladen und muss es dann im Recovery Fall vorher laden. Wobei ich da eher mit Snapshots vom Bare Metal Backup arbeiten würde. Melde mich dazu morgen, heute gibt es Wichtigeres (Fußball).
Ist länger her, kann ich morgen mehr dazu sagen. Bare Metal stimmt natürlich auf direktem Weg - kann man aber eventuell über ein anderes Tool hochladen und muss es dann im Recovery Fall vorher laden. Wobei ich da eher mit Snapshots vom Bare Metal Backup arbeiten würde. Melde mich dazu morgen, heute gibt es Wichtigeres (Fußball).
- Mitglied seit
- 25. Nov 2022
- Beiträge
- 2.429
- Punkte für Reaktionen
- 1.196
- Punkte
- 224
Also, ich habe mir das Ganze bei Hetzner mit deren „Robot“ angeschaut.
Tatsächlich kann man das Passwort nicht (mehr) selbst wählen. Wobei das mal ging oder nur beim Haupt-User geht, da mein Passwort deutlich länger ist mit Sonderzeichen. Unsicher ist es allerdings keinesfalls, da das generierte Kennwort 16 Zeichen lang ist mit Kombi aus Groß- und Kleinbuchstaben mit Zahlen.
2-FA-Authentifizierung ist vorhanden, siehe Screenshot. Ich halte es also somit fast ausgeschlossen, dass das Passwort per Brute Force geknackt wird. Sub-Account kann auch erstellt werden, so könnte man regelmäßig den User wechseln und das als zusätzliche Sicherheit einbauen, wenn man es auf die Spitze treiben will.
Das muss ich auf morgen verschieben, hatte heute mit Tests zu HyperBackup und 10 GbE-Performance genug zu tun.
Anhänge
Zuletzt bearbeitet:
Für den Hetzner Account ja. Ich meinte vielmehr für den ssh Zugang.
Mein Setup sieht nun wie folgt aus:
Der ssh Benutzer u00000 hat keinen externen Zugriff und auch sonst keine freigegebenen Protokolle aktiv.
Für jede Synology Freigabe (z.B. photo, homes) existiert ein eigener Hyper Backup Job und ein zugehöriger Sub-Account mit ssh Zugriff in der Hetzner Storage Box.
Code:
photo -> u00000-sub1
homes -> u00000-sub2Was übrigens auch keinen Sinn ergibt ist mit Public Keys zu arbeiten. Für die Storage Box User kann man dies zwar einrichten, aber es ist nicht möglich den Login mit Passwort zu deaktivieren.
Das ist zwar keine perfekte Lösung, aber immer noch besser als kein Backup zu haben.
Den doppelten Preis für C2 rechtfertigen die Einschränkungen meiner Meinung auch nicht.
- Mitglied seit
- 25. Nov 2022
- Beiträge
- 2.429
- Punkte für Reaktionen
- 1.196
- Punkte
- 224
Aber dann wäre doch der SSH-Key in dem Fall dein zweiter Faktor. Oder ich verstehe dich falsch.
https://docs.hetzner.com/de/robot/storage-box/backup-space-ssh-keys
https://docs.hetzner.com/de/robot/storage-box/backup-space-ssh-keys
Ich vermute du verstehst mich falsch
Der SSH-Key kann zusätzlich zum Passwort genutzt werden. Es ist somit eine zweite, parallele Variante der Authentifizierung, aber kein zweiter Faktor. Somit hätte man ein sicheres Verfahren (SSH-Key) und ein weniger sicheres Verfahren (automatisch generiertes Passwort).
Der SSH-Key kann zusätzlich zum Passwort genutzt werden. Es ist somit eine zweite, parallele Variante der Authentifizierung, aber kein zweiter Faktor. Somit hätte man ein sicheres Verfahren (SSH-Key) und ein weniger sicheres Verfahren (automatisch generiertes Passwort).
- Mitglied seit
- 25. Nov 2022
- Beiträge
- 2.429
- Punkte für Reaktionen
- 1.196
- Punkte
- 224
Wenn du es parallel zum Kennwort nutzt, ist es ein zweiter Faktor - ohne Key kein Login, ohne Kennwort kein Login.
1. Faktor Wissen, also Kennwort
2. Faktor Besitz, also SSH-Key
Definition vom BSI:
Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B.Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) verwendet wird.
Edit: Falls Hetzner das nicht unterstützt, dann beim Erzeugen des SSH-Keys diesen mit Passphrase versehen. Dann kannst du auch ein Passwort deiner Wahl in jeglicher Länge und Kombination benutzen.
1. Faktor Wissen, also Kennwort
2. Faktor Besitz, also SSH-Key
Definition vom BSI:
Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B.Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) verwendet wird.
Edit: Falls Hetzner das nicht unterstützt, dann beim Erzeugen des SSH-Keys diesen mit Passphrase versehen. Dann kannst du auch ein Passwort deiner Wahl in jeglicher Länge und Kombination benutzen.
Zuletzt bearbeitet:
Dem möchte ich nicht wiedersprechen, die Definition ist richtig.
Allerdings liegt hier ein andere Fall vor. Zum Login kann der SSH-Key (ggf. mit Passphrase) oder das von Hetzner generierte Passwort genutzt werden. Man muss nicht beides kennen/haben.
Meinst du vielleicht die Passphrase des SSH-Keys mit Passwort? Da passt die Definition. Man muss den Key haben und die zugehörige Passphrase wissen.
/edit:
Aber wir schweifen vom eigentlichen Thema ab
Allerdings liegt hier ein andere Fall vor. Zum Login kann der SSH-Key (ggf. mit Passphrase) oder das von Hetzner generierte Passwort genutzt werden. Man muss nicht beides kennen/haben.
Meinst du vielleicht die Passphrase des SSH-Keys mit Passwort? Da passt die Definition. Man muss den Key haben und die zugehörige Passphrase wissen.
/edit:
Aber wir schweifen vom eigentlichen Thema ab
Ich denke auch, dass das kein "2. Faktor" ist, sondern nur alternative Wege. 2. Faktor wäre, wenn man beides braucht zur Anmeldung, also in Kombination.
Zuletzt bearbeitet:
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
