Означает ли новая TLS-аутентификация Bareos в версии 18.2.5 безопасное создание резервных копий через Интернет?
В документе "Что нового в Bareos 18" говорится, что в Bareos 17:
TLS запускается только ПОСЛЕ аутентификации!
и в разделе "Достижения Gloals(sic)" (для версии 18):
По умолчанию сетевое соединение зашифровано. Центр сертификации и сертификаты не нужны.
но в разделе "Gloals(sic) все еще открыт" говорится:
Аутентификация CRAM-MD5 выполняется внутри туннеля TLS
Затем на веб-странице Bareos "Что нового" написано:
Bareos 18.2.5 использует шифрование TLS с самого начала. Все демоны (Bareos Director, File Daemon и Storage Daemon) теперь поддерживают шифрование TLS через предварительный общий ключ (PSK) при аутентификации.
Поэтому теперь безопасно (с использованием настроек по умолчанию Bareos) делать резервные копии по общедоступной сети или мне все еще нужно передавать удаленные резервные копии по зашифрованному туннелю?
1 ответ
Там никогда не было необходимости использовать зашифрованный туннель. Ранее вы могли настроить PKI (сертификат CA и сертификаты сервера вместе с некоторым количеством настроек) для настройки TLS с сертификатами. Это все еще допустимая опция для Bareos 18.2, и она будет обеспечивать шифрование на всех каналах связи.
Однако ранее по умолчанию был запущен незашифрованный, потому что было невозможно настроить TLS с сертификатами автоматически.
Начиная с 18.2, существует поддержка TLS-PSK, которая не требует дополнительной настройки или PKI, но работает с обычными предварительно общими ключами, которые Bareos использует вечно. Поскольку это не требует какой-либо специальной настройки, это новое значение по умолчанию.
С 18.2 и новее вам придется явно отключить шифрование, чтобы использовать простой текстовый протокол.