Нужно ли шифровать backup'ы?

Бекапы на том же VPS, что и проект как я понимаю?
Тогда да, их нет смысла там шифровать.

Но их стоит складывать в папочку с доступом только для рута.
Т.к если тебе сломают один сервис (или сайт? я надеюсь ты таки им разных юзеров выделил и права?), то взломщик не сможет слить заранее готовые бекапы.
А выполнение команд архивирования вполне можно мониторить, как и прочую странную активность.
Т.е лежащий готовый бекап однозначно хуже, чем просто дырка.

Локальный же сервер тоже по сути не дает гарантии безопасности, а потому там бекапы стоит хранить шифрованными.
Ну и как раз в тему твоих предыдущих тем (про параметры 7z и rar).

Шифровать надо не всякими архиваторами, а GNUPG.
Таким образом даже хитрый хостер не сможет слить твои старые бекапы, т.к закрытого ключа у него не будет.

Если это именно дедик, а не виртуалочка, то crypt-setup тебе в помощь. А если у тебя диск без шифрования, то шифрованные бекапы - это как биометрический замок на деревянной двери. Исключение: машине, которой хранятся бекапы нельзя доверять (винда).

Да, я решил GPG всё шифровать на всякий случай, хотя, чисто практически, смысла в этом нет (каталог с backup'ми 600 root:root).

Вообще всегда полезно сделать что то дополнительное для безопасности.

Например в старых бекапах может быть какая то ценная инфа, которой нет в новых (вдруг какие органы захотят посмотреть старые логи).
А файлик зашифрованный GPG никто и никак не расшифрует.
Все же сервер можно порутать и текущую инфу слить.

К тому же как я уже указал, ОЧЕНЬ просто определить что тебя сливают если кто то дампает БД или архивирует кучу файлов, а значит будет пара секунд чтобы на автомате выключить сервер или зафаерволить все порты.

ОЧЕНЬ просто определить что тебя сливают если кто то дампает БД или архивирует кучу файлов

Поподробнее, пожалуйста!

man auditctl и далее по списку.
По сути настроить можно все так, что даже если сервер рутнут удаленно, то ты таки успеешь его загосить. :)

И уровень надежности зависит лишь от того как хорошо ты назадротишь.

Простые вещи вообще можно мониторить и говноскриптом на похапэ на кроне.
Видишь что кто то не тот архивирует - вырубаешь сервер или внешку до разбирательства.
Видишь mysqldump или другую утилу дампа бд - аналогично.
Видишь, что nobody зырит ps или netstat - тоже самое.
Такая банальная защита спалит тебе 99.9999% гостей.
Реально такой банальной защиты нет даже в самых серьёзных локалках, а потому даже специалисты по 10 лет опыта наверняка захотят проверить что нибудь эдакое, ну там /etc/passwd посмотреть :)

Серьёзно, видел уже тысячи серваков контор, хостеров, биллингов, магазинов и даже поисковиков.
Нигде такой маленькой, но эффективной защиты нет: дампай ни хочу, заметить может только зашедший случайно админ.

Подобные вещи в виде готовых приложений/утилит существуют или вы сами всё руками реализовывали?

Я честно говоря когда то писал их с ноля на похапэ.
О наличии готовых мониторилок я узнал сильно позже (когда перепозл на линуксы).
А сейчас оно уже не нужно, т.к никаких хостинговых серверов нет, только проекты под которыми по 3-5 серверов.

Но на своих веб-серверах для казино я юзаю другую схему:
1 - Все крутится в виртуалках, вся логика на бекенде без доступа к вебу, сервер БД отдельно.
2 - На серверах с логикой вообще никаких бинарей нет (кроме тех которые нужны для запуска окружения), никаких mysqldump и архиваторов.
3 - Скрипты (ога, бекенд на похапэ) лежат в директории с noexec и при этом юзер под которым они крутятся вообще не имеет прав ни на что, т.е поднять права там в принципе нельзя, а с веба виден только 80 порт.
4 - Те бинари и сервисы которые есть огорожены AppArmor.
Все левые обращения сразу вызовут алерт в логах.
Ну и работает мониторилка логов которая если, что сразу шлет уведомление администратору по смс.

Тебе из этого может сильно пригодится настроенный AppArmor/SELinux с мониторилкой логов типа apparmor-notify (я его чуток переписал).

Да, настраивать профили для всех сервисов и софта не обязательно, только для того, до чего можно достучаться по сети.
Левые порты лучше закрыть и открывать через knockd.

Нигде такой маленькой, но эффективной защиты нет

Легко догадаться, почему. Большинство оценивает потери от простоя в результате ошибки своих выше, чем от утечки в результате действий чужих. Свои пасутся на серверах более-менее постоянно, т.ч. вероятность ложного срабатывания с выключением сервиса очень и очень. А чужие, достаточно квалифицированные для пролома стандартных средств, встречаются редко. Т.ч. ещё стоит поискать контору, инфа которой стоит времени этого спеца.

Легко догадаться, почему. Большинство оценивает потери от простоя в результате ошибки своих выше, чем от утечки в результате действий чужих.

Плохое оправдание наплевательскому отношению к безопасности.
Но ты конечно прав, во многом именно эту причину и называют :)

А чужие, достаточно квалифицированные для пролома стандартных средств, встречаются редко.

Ну так нету никогда стандартных средства, selinux включен очень редко, а дополнительно максимум что mod_security и clamav с дефолтными конфигами ставят.
Правда логи никто не читает, а потому FAIL.

Т.е обходить там нeчего, и сломать сможет любой смышленный школьник (эх, жалко таких школьников теперь не найти) :)
Любая веб морда по сути потенциальная дыра, если не йчас, то через год когда найдут новую дыру во фреймворке/интерпретаторе/сервере.

Плохое оправдание наплевательскому отношению к безопасности

Вовсе нет. Это такой «анализ рисков». Безопасность ради безопасности не нужна.

Хм, ну как бы никто не говорит на серьёзном сервисе вырубать сервер при срабатывании скрипта.
Но хотя бы отправить уведомление админу о подозрительной активности, и чтобы он его читал (!).

Хотя для локалхоста или сервиса с личными сайтами/почтой подойдет и вариант с выключением, т.к он самый надежный :)

чтобы он его читал

Есть только 1 технический метод опеспечения этого - вырубать таки сервис:)

лишней безопасности не бывает

тебя найдут и всё расшифруют при надобности, с развальцовкой техотверстий в довесок