2012-07-20, 22:38
#1
Tjenare,
Har precis nyligen vart en duktig idiot som har slarvat med backuperna.
Förlorade massor av timmar konfigurationsjobb när jag inte hade en vettig backup av min klient.
Så nu efter många flera timmars konfiguration och fått tillbaks mitt liv på banan igen så började jag skriva på ett backup-script för min klient.
Hade tänkt att använda mig av rsync och ssh, precis som jag har på min server som backar upp all viktig data till en annan maskin i mitt nät.
Men så slog det mig att den lösningen jag har på min server inte är bra ur säkerhetssynpunkt.
För just nu har jag rsync med ssh som authentiserar sig med publik nyckel när den backar upp data till min backup-server. Detta innebär att mitt skript skyfflar över data utan att behöva uppge lösenord.
Sen fick jag ett paranoid-anfall och insåg, fuck om min server blir hackad.....root kontot ägt, då har dom även tillgång till min andra server med root dessutom, bara för att jag kör ssh med auto-authentification.
Börjar nu bolla med tankarna hur jag kommer runt detta problem.
Eftersom jag backar upp bland annat /etc och vill behålla alla filrättigheter så inser jag att jag får ett problem med mitt backupförfarande om jag kör en backup-user som inte är root.
Eftersom det finns filer där som t ex nedan fil:
-rw-r----- 1 root dovecot 1675 Nov 13 2011 ./ssl/private/dovecot.pem
Ovanstående fall skulle innebära att jag behöver lägga upp min backup-user även i dovecot-gruppen för att kunna backa upp den filen. Detta är iofs inget problem med administrativt blir det ett problem för att jag vill inte sitta och kolla upp hela tiden om det finns filer som backup-usern inte har rättigheter till.
Det skulle bli en del grupper som backup-usern måste vara medlem i tillslut.
Ett annat alternativ skulle vara att backupen först skyfflas till en annan katalog som sedan ger backup-usern rättigheter till de filerna, därefter tas filerna bort efter att backupen är gjord till remote-servern.
Men det känns inte heller optimalt, så nu undrar jag hur ni hade löst problemet?
Har precis nyligen vart en duktig idiot som har slarvat med backuperna.
Förlorade massor av timmar konfigurationsjobb när jag inte hade en vettig backup av min klient.
Så nu efter många flera timmars konfiguration och fått tillbaks mitt liv på banan igen så började jag skriva på ett backup-script för min klient.
Hade tänkt att använda mig av rsync och ssh, precis som jag har på min server som backar upp all viktig data till en annan maskin i mitt nät.
Men så slog det mig att den lösningen jag har på min server inte är bra ur säkerhetssynpunkt.
För just nu har jag rsync med ssh som authentiserar sig med publik nyckel när den backar upp data till min backup-server. Detta innebär att mitt skript skyfflar över data utan att behöva uppge lösenord.
Sen fick jag ett paranoid-anfall och insåg, fuck om min server blir hackad.....root kontot ägt, då har dom även tillgång till min andra server med root dessutom, bara för att jag kör ssh med auto-authentification.
Börjar nu bolla med tankarna hur jag kommer runt detta problem.
Eftersom jag backar upp bland annat /etc och vill behålla alla filrättigheter så inser jag att jag får ett problem med mitt backupförfarande om jag kör en backup-user som inte är root.
Eftersom det finns filer där som t ex nedan fil:
-rw-r----- 1 root dovecot 1675 Nov 13 2011 ./ssl/private/dovecot.pem
Ovanstående fall skulle innebära att jag behöver lägga upp min backup-user även i dovecot-gruppen för att kunna backa upp den filen. Detta är iofs inget problem med administrativt blir det ett problem för att jag vill inte sitta och kolla upp hela tiden om det finns filer som backup-usern inte har rättigheter till.
Det skulle bli en del grupper som backup-usern måste vara medlem i tillslut.
Ett annat alternativ skulle vara att backupen först skyfflas till en annan katalog som sedan ger backup-usern rättigheter till de filerna, därefter tas filerna bort efter att backupen är gjord till remote-servern.
Men det känns inte heller optimalt, så nu undrar jag hur ni hade löst problemet?
