バージョン18.2.5のBareosの新しいTLS認証は、インターネット経由で安全にバックアップを実行できることを意味しますか?
"Bareos 18の新機能"ドキュメント Bareos 17では次のように述べています。
TLSは、認証が完了した後にのみ開始されます。
および「達成されたGloals(sic)」(バージョン18の場合):
デフォルトでは、ネットワーク通信は暗号化されています。認証局と証明書は必要ありません
しかし、「Gloals(sic)はまだ開いています」の下にそれは言います:
CRAM-MD5認証はTLSトンネル内で行われます
次に、Bareos "What's new" Webページに次のように表示されます。
Bareos 18.2.5は、最初からTLS暗号化を使用しています。すべてのデーモン(Bareos Director、File Daemon、およびStorage Daemon)は、認証時に事前共有キー(PSK)を介したTLS暗号化をサポートするようになりました。
したがって、パブリックネットワーク経由でバックアップを実行するのは安全ですか(Bareosのデフォルトを使用)、それとも暗号化されたトンネル経由でリモートバックアップをパイプする必要がありますか?
暗号化されたトンネルを使用する必要はありませんでした。以前は、PKI(CA証明書とサーバー証明書とある程度の構成)をセットアップして、証明書を使用してTLSを構成できました。これはBareos18.2の有効なオプションであり、すべての通信チャネルで暗号化を提供します。
ただし、以前は、証明書を使用してTLSを自動的に設定することができなかったため、デフォルトでは暗号化されずに実行されていました。
18.2以降、高度な構成やPKIを必要としないTLS-PSKがサポートされていますが、Bareosが永遠に使用している通常の事前共有キーで動作します。これは特別な設定を必要としないため、これが新しいデフォルトです。
18.2以降では、プレーンテキストプロトコルを使用するには暗号化を明示的に無効にする必要があります。