Zum Inhalt

Sicherheit & Zugriffsschutz

Sicherheit ist kein Feature, sondern die Architektur selbst. Hier erläutern wir die Maßnahmen zum Schutz Ihrer Daten.

Netzwerk-Isolation (WireGuard)

Optional kann der Zugriff auf die Storage-Endpunkte über ein VPN erfolgen.

  • Technologie: Einsatz von WireGuard als performantes Layer-3 VPN.
  • Vorteil: Der SSH-Port (TCP/22) ist in diesem Szenario nicht im öffentlichen Internet exponiert, sondern nur über den Tunnel (10.x.x.x) erreichbar.
  • Attack Vector: Dies eliminiert die Angriffsfläche gegen SSH-Brute-Force Attacken und Zero-Day-Exploits im SSH-Daemon fast vollständig.

Shell-Restriktionen (Restricted Shell)

Der Zugriff für ZFS-Replikation erfolgt über einen dedizierten System-User (benutzername). Dieser User unterliegt strikten Einschränkungen, die serverseitig erzwungen werden.

  • Restricted Shell (rbash): Interaktive Shell-Befehle (ls, cd, uname) sind deaktiviert. Ein Login führt zum sofortigen Logout, wenn kein erlaubtes Kommando übergeben wird.
  • SSH ForceCommand / AuthorizedKeysCommand: Wir validieren jedes gesendete Kommando.
  • Command Whitelisting: Es können ausschließlich Befehle ausgeführt werden, die für den Datentransfer notwendig sind:
    • zfs (nur auf freigegebene Datasets)
    • lz4, zstd (Dekompression)
    • mbuffer (Buffering)
  • Isolation: Jeder Prozess läuft in einer Chroot-Umgebung oder Namespace-Isolation zur Trennung vom Host-System.