В Документ "Что нового в Bareos 18" говорит, что в Bareos 17:
TLS запускается только ПОСЛЕ завершения аутентификации!
и в разделе «Глобальные (sic) достигнуты» (для версии 18):
По умолчанию сетевое соединение зашифровано Центр сертификации, сертификаты не требуются.
но в разделе «Глобалы (sic) все еще открыты» написано:
CRAM-MD5 аутентификация выполняется внутри TLS Tunnel
Затем на Барео "Что нового" на веб-странице говорится:
Bareos 18.2.5 с самого начала использует шифрование TLS. Все демоны (Bareos Director, File Daemon и Storage Daemon) теперь поддерживают шифрование TLS с помощью предварительного общего ключа (PSK) при аутентификации.
Таким образом, теперь безопасно (используя настройки Bareos по умолчанию) делать резервные копии через общедоступную сеть или мне все еще нужно передавать удаленные резервные копии через зашифрованный туннель?
Никогда не было необходимости использовать зашифрованный туннель. Раньше можно было настроить PKI (сертификат CA и сертификаты сервера вместе с некоторой конфигурацией) для настройки TLS с сертификатами. Это по-прежнему действующий вариант для Bareos 18.2, и он будет обеспечивать шифрование на всех каналах связи.
Однако ранее по умолчанию запускался незашифрованный, потому что невозможно было настроить TLS с сертификатами автоматически.
Начиная с 18.2 существует поддержка TLS-PSK, которая не требует какой-либо расширенной конфигурации или PKI, но работает с обычными предварительно общими ключами, которые Bareos использовал всегда. Поскольку это не требует специальной настройки, это новое значение по умолчанию.
В версии 18.2 и новее вам придется явно отключить шифрование, чтобы использовать протокол обычного текста.