C2 Storage vs. Hetzner Storage Box

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Bei mir sind grundsätzlich alle Backups mit clientseitiger Verschlüsselung angelegt.
Ja, ich auch meine Backups bei C2 und Hetzner sind beide clientseitig verschlüsselt.
Dann ist es wohl klar weshalb man nicht die maximal verfügbare Bandbreite erreicht. Die Datei muss ja zuerst einmal aus dem Archiv extrahiert werden. Die Ansicht im Backup Browser ist schließlich nur ein Index der einem angezeigt wird.
 

Datensammler

Benutzer
Mitglied seit
04. Aug 2012
Beiträge
482
Punkte für Reaktionen
11
Punkte
24
Danke @guidovg
Das ist ja wirklich ein günstiges Angebot von Hetzner. Das muss ich mir demnächst mal genauer anschauen. Habe derzeit einen 4TB-Plan bei Synology C2.
 

iCard

Benutzer
Mitglied seit
11. Mai 2017
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
Ein Punkt fehlt mir in dieser Diskussion der mich noch von einem Wechsel von C2 zu Hetzner abhält:

Bei C2 ist mein Account mit einer 2FA abgesichert und ich kann selbst ein starkes Passwort festlegen.
Hingegen ist bei Hetzner in der ssh/rsync Variante das Passwort mittelmäßig und nicht frei wählbar. 2FA fehlt gänzlich. Public Key Verfahren geht, soweit ich weiß, nur schwer oder gar nicht.

Meine Sorge ist nun, dass ein Angreifer per ssh in aller Ruhe Passwörter ausprobieren kann und dann Zugriff auf mein Backup erhält. Weiß jemand, ob Hetzner die Anmeldeversuche limitiert?

Natürlich ist das Backup schon clientseitig verschlüsselt und die Daten hoffentlich wertlos ohne zugehörige Passphrase.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Mittlerweile muss man leider einen weiteren Nachteil einwerfen: Bare-Metal Backups gehen nur nach C2. Zum Rest kann ich leider nix sagen. Vielleicht weiß @maxblank da mehr.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Das Passwort ist frei wählbar, man kann auch separate User anlegen - ich meine, dass es sogar Pflicht zur Passwortänderung gab.
Ist länger her, kann ich morgen mehr dazu sagen. Bare Metal stimmt natürlich auf direktem Weg - kann man aber eventuell über ein anderes Tool hochladen und muss es dann im Recovery Fall vorher laden. Wobei ich da eher mit Snapshots vom Bare Metal Backup arbeiten würde. Melde mich dazu morgen, heute gibt es Wichtigeres (Fußball). 😂
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Ein Punkt fehlt mir in dieser Diskussion der mich noch von einem Wechsel von C2 zu Hetzner abhält:

Bei C2 ist mein Account mit einer 2FA abgesichert und ich kann selbst ein starkes Passwort festlegen.
Hingegen ist bei Hetzner in der ssh/rsync Variante das Passwort mittelmäßig und nicht frei wählbar. 2FA fehlt gänzlich. Public Key Verfahren geht, soweit ich weiß, nur schwer oder gar nicht.

Meine Sorge ist nun, dass ein Angreifer per ssh in aller Ruhe Passwörter ausprobieren kann und dann Zugriff auf mein Backup erhält. Weiß jemand, ob Hetzner die Anmeldeversuche limitiert?

Natürlich ist das Backup schon clientseitig verschlüsselt und die Daten hoffentlich wertlos ohne zugehörige Passphrase.
Also, ich habe mir das Ganze bei Hetzner mit deren „Robot“ angeschaut.
Tatsächlich kann man das Passwort nicht (mehr) selbst wählen. Wobei das mal ging oder nur beim Haupt-User geht, da mein Passwort deutlich länger ist mit Sonderzeichen. Unsicher ist es allerdings keinesfalls, da das generierte Kennwort 16 Zeichen lang ist mit Kombi aus Groß- und Kleinbuchstaben mit Zahlen.
2-FA-Authentifizierung ist vorhanden, siehe Screenshot. Ich halte es also somit fast ausgeschlossen, dass das Passwort per Brute Force geknackt wird. Sub-Account kann auch erstellt werden, so könnte man regelmäßig den User wechseln und das als zusätzliche Sicherheit einbauen, wenn man es auf die Spitze treiben will.


Mittlerweile muss man leider einen weiteren Nachteil einwerfen: Bare-Metal Backups gehen nur nach C2. Zum Rest kann ich leider nix sagen. Vielleicht weiß @maxblank da mehr.
Das muss ich auf morgen verschieben, hatte heute mit Tests zu HyperBackup und 10 GbE-Performance genug zu tun. 😉
 

Anhänge

  • IMG_0686.jpeg
    IMG_0686.jpeg
    70,8 KB · Aufrufe: 21
  • IMG_0687.jpeg
    IMG_0687.jpeg
    77,8 KB · Aufrufe: 21
Zuletzt bearbeitet:

iCard

Benutzer
Mitglied seit
11. Mai 2017
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
2-FA-Authentifizierung ist vorhanden, siehe Screenshot.
Für den Hetzner Account ja. Ich meinte vielmehr für den ssh Zugang.

Mein Setup sieht nun wie folgt aus:

Der ssh Benutzer u00000 hat keinen externen Zugriff und auch sonst keine freigegebenen Protokolle aktiv.
Für jede Synology Freigabe (z.B. photo, homes) existiert ein eigener Hyper Backup Job und ein zugehöriger Sub-Account mit ssh Zugriff in der Hetzner Storage Box.
Code:
photo -> u00000-sub1
homes -> u00000-sub2

Was übrigens auch keinen Sinn ergibt ist mit Public Keys zu arbeiten. Für die Storage Box User kann man dies zwar einrichten, aber es ist nicht möglich den Login mit Passwort zu deaktivieren.

Das ist zwar keine perfekte Lösung, aber immer noch besser als kein Backup zu haben.
Den doppelten Preis für C2 rechtfertigen die Einschränkungen meiner Meinung auch nicht.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289

iCard

Benutzer
Mitglied seit
11. Mai 2017
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
Ich vermute du verstehst mich falsch ;)
Der SSH-Key kann zusätzlich zum Passwort genutzt werden. Es ist somit eine zweite, parallele Variante der Authentifizierung, aber kein zweiter Faktor. Somit hätte man ein sicheres Verfahren (SSH-Key) und ein weniger sicheres Verfahren (automatisch generiertes Passwort).
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Wenn du es parallel zum Kennwort nutzt, ist es ein zweiter Faktor - ohne Key kein Login, ohne Kennwort kein Login.
1. Faktor Wissen, also Kennwort
2. Faktor Besitz, also SSH-Key

Definition vom BSI:
Wichtig ist, dass die Faktoren dabei aus verschiedenen Kategorien stammen, also eine Kombination aus Wissen (z.B.Passwort, PIN), Besitz (z.B. Chipkarte, TAN-Generator) oder Biometrie (z.B. Fingerabdruck) verwendet wird.

Edit: Falls Hetzner das nicht unterstützt, dann beim Erzeugen des SSH-Keys diesen mit Passphrase versehen. Dann kannst du auch ein Passwort deiner Wahl in jeglicher Länge und Kombination benutzen.
 
Zuletzt bearbeitet:

iCard

Benutzer
Mitglied seit
11. Mai 2017
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
Dem möchte ich nicht wiedersprechen, die Definition ist richtig.

Allerdings liegt hier ein andere Fall vor. Zum Login kann der SSH-Key (ggf. mit Passphrase) oder das von Hetzner generierte Passwort genutzt werden. Man muss nicht beides kennen/haben.

Meinst du vielleicht die Passphrase des SSH-Keys mit Passwort? Da passt die Definition. Man muss den Key haben und die zugehörige Passphrase wissen.

/edit:
Aber wir schweifen vom eigentlichen Thema ab :cool:
 
  • Like
Reaktionen: maxblank

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.803
Punkte für Reaktionen
3.761
Punkte
468
Ich denke auch, dass das kein "2. Faktor" ist, sondern nur alternative Wege. 2. Faktor wäre, wenn man beides braucht zur Anmeldung, also in Kombination.
 
Zuletzt bearbeitet:

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
SSH-Key mit Kennwort versehen, einspielen und fertig ist die Laube.
Letzter Kommentar dazu meinerseits, back to Topic. 👍
 
  • Like
Reaktionen: iCard


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat