я бы сделал просто копирование с сервера бекапов, чтобы сервер с базой вообще не знал логина на него, а на сервере бекапов borgbackup, чтобы дедублицированные данные хранили побольше копий.
Но вопрос не в этом, многие вирусы бьют по расширению, чтобы нанести ущерб быстрее. Отсюда идея, что если бекапы сохранить с расширением .tmp, вирус их может проигнорировать... Про удаленное хранение и т.п. это уже другая тема... У меня часто нет никакого удаленного хоста и хочется предпринять что-то.