Einrichtung
Linux
Die folgenden Schritte beschreiben die Einrichtung eines Linux-Systems zur Nutzung der BAREOS-Datensicherung des URZs an der TU Chemnitz:
Installation
- Installation des BAREOS-Clients, in Anlehnung an die Bareos-Dokumentation
- Download der aktuellen BAREOS-Client-Software je nach Distribution von der BAREOS-Downloadseite
- Beispiel für Debian 12:
# Download des aktuellen BAREOS-Repos für die jeweilige Linux-Distribution, in dem Fall Debian 12 $ wget https://download.bareos.org/current/Debian_12/add_bareos_repositories.sh # Hinzufügen des BAREOS-Repos ins System $ sudo sh ./add_bareos_repositories.sh # Paketverwaltung aktualisieren $ sudo apt update # Installation des Paketes 'bareos-client' mit dessen Anhängigkeiten $ sudo apt install bareos-client
- Sollte auf dem Linux-System eine Firewall aktiv sein, ist für diese eine Ausnahme auf Port 9102 für unsere BAREOS-Backup-Server backup.hrz.tu-chemnitz.de (134.109.228.179 2001:638:911:b0e:134:109:228:179) zu definieren
Konfiguration
- Die Konfigrationsdateien für den Bareos-Klienten werden im IdM für jeden einzelnen Auftrag bereitgestellt: Bareos-Backups im IdM-Portal
- Über den Link 'Download client configuration' werden neben der README.txt die Konfigurationsdateien bareos-dir.conf sowie myself.conf angeboten.
- Das entpackte Archiv "bareos_config.zip" enthält:
README.txt # Einrichtungshinweise bareos-dir.conf # BAREOS Director Konfiguration, enthält bereits das Passwort für den BAREOS-Klienten myself.conf # Klient-Konfiguration für BAREOS, enthält neben dem Hostnamen auch die Verschlüsselungseinstellungen sowie Schlüssel-Pfade urz-master.pub.key # Öffentlicher URZ-Master-Schlüssel, OPTINALER Notfallschlüssel zur Datenentschlüssel über das URZ
- bareos-dir.conf
Überschreiben der „bareos-dir.conf“ im Verzeichnis /etc/bareos/bareos-fd.d/director/
- myself.conf
Überschreiben der „myself.conf“ im Verzeichnis /etc/bareos/bareos-fd.d/client/
- urz-master.pub.key
OPTIONAL: Kopieren des “urz-master.pub.key“ in Verzeichnis /etc/bareos/
Wofür wird der urz-master.pub.key benötigt?
Soll eine Verschlüsselung der Datensicherung zur Anwendung kommen, muss immer ein eigenes Schlüsselpaar (siehe nächster Punkt) erzeugt werden. Wird zusätzlich der „urz-master.pub.key“ auf dem BAREOS-Klienten bereitgestellt und in die Konfiguration eingebunden, besteht die Möglichkeit, dass das URZ beim Verlust des eigenen Schlüsselpaars zur Entschlüsselung der Daten im Ausnahmefall bzw. Notfall behilflich sein kann. Dabei muss unbedingt beachtet werden, dass bei einem sehr hohen Schutzbadarf in dem Fall auch Dritte (das URZ) Zugriff auf die Daten haben. Ist dies nicht gewünscht, muss auf diese Zusatzabsicherung für den Schlüsselverlust verzichtet werden!Einrichtung Backup-Verschlüsselung:
Über die myself.conf werden im Wesentlichen die Details zur BAREOS-Backup-Verschlüsselung definiert. Eine Beispielkonfiguration für den Host „pelagios.hrz.tu-chemnitz.de“ kann wie folgt aufgebaut sein:Client {
Name = pelagios.hrz.tu-chemnitz.de
Maximum Concurrent Jobs = 1
PKI Signatures = Yes
PKI Encryption = Yes
PKI Cipher = aes256
## Öffentlicher und privater Schlüssel zur Backup-Verschlüsselung:
## (Generierung durch den Klienten notwendig!)
PKI Keypair = "/etc/bareos/pelagios.hrz.tu-chemnitz.de-fd.pem"
## URZ Master-Schlüssel zur Backup-Verschlüsselung
## (Standardmäßig deaktiviert - bitte weitere Hinweise beachten!)
#PKI Master Key = "/etc/bareos/urz-master.pub.key"
}
- Soll die Backup-Verschlüsselung zur Anwendung kommen (PKI Encryption = Yes), muss ein Schlüsselpaar zum BAREOS-Klienten als PEM-File generiert und bereitgestellt werden (Beispiel: „/etc/bareos/pelagios.hrz.tu-chemnitz.de-fd.pem“)
- Zur Generierung auf einem Linux-System kann wie folgt vorgegangen werden (Voraussetzung ist das Paket 'openssl'):
# Beispiel für die Schlüssel-Generierung (Länge 4096 Bit) # privater Schlüssel: $ openssl genrsa -out pelagios.hrz.tu-chemnitz.de.key 4096 # Zertifikat zum privaten Schlüssel: $ openssl req -new -days 5475 -key pelagios.hrz.tu-chemnitz.de.key -x509 -out pelagios.hrz.tu-chemnitz.de.cert -subj "/C=DE/ST=Sachsen/L=Chemnitz/O=Technische Universitaet Chemnitz/CN=pelagios.hrz.tu-chemnitz.de" # Zusammführung beider Informationen: $ cat pelagios.hrz.tu-chemnitz.de.key pelagios.hrz.tu-chemnitz.de.cert > pelagios.hrz.tu-chemnitz.de-fd.pem
Achtung – sichere Aufbewahrung des Schlüsselpaares!
Das generierte Schlüsselpaar (bestehend aus dem privaten Schlüssel und dem Zertifikat zum BAREOS-Klienten) wird zum Verschlüsseln und Entschlüsseln benötigt. Aus diesem Grund muss das Schlüsselpaar zusätzlich an einem sicheren Ort außerhalb des zu sichernden Systems aufbewahrt werden. Kommt es zu einen Defekt oder Totalausfall des Systems, auf dem der BAREOS-Klient eingerichtet ist, kann die verschlüsselte Datensicherung nur mit Besitz des Schlüsselpaares (ggf. auf einem anderen System) wiederherstellt werden! - Wichtig: Nach der sicheren Verwahrung sind die ggf. noch zwischengespeicherten Schlüsseldateien unbedingt sicher zu vernichten!
# Löschen der sensiblen Schlüsseldateien: $ shred -u pelagios.hrz.tu-chemnitz.de.key pelagios.hrz.tu-chemnitz.de.cert pelagios.hrz.tu-chemnitz.de-fd.pem
Einrichtung ohne Verschlüsselung:
Soll die Backup-Verschlüsselung entfallen, ist die myself.conf lediglich wie in der nachfolgenden Beispielkonfiguration für den Host „pelagios.hrz.tu-chemnitz.de“ anzugeben:Client {
Name = pelagios.hrz.tu-chemnitz.de
Maximum Concurrent Jobs = 1
}
Übernahme der Konfiguration - Neustart des Dienstes:
Nachdem die Konfigurationsdateien korrekt bereitgestellt und ggf. die zur Backup-Verschlüsselung notwendigen Schlüssel hinterlegt wurden, kann der Dienst „bareos-filedaemon“ aktiviert und gestartet werden:
# Service bareos-filedaemon aktivieren und starten:
$ systemctl enable bareos-filedaemon
$ systemctl start bareos-filedaemon
# Kontrolle:
$ systemctl status bareos-filedaemon
● bareos-filedaemon.service - Bareos File Daemon service
Loaded: loaded (/lib/systemd/system/bareos-filedaemon.service; enabled; vendor preset: enabled)
Active: active (running) …
Damit ist das Einrichten abgeschlossen und die Datensicherung wird zur definierten Zeit durch den BAREOS-Backup-Server des URZ gestartet.
Windows
Die folgenden Schritte beschreiben die Einrichtung eines Windows-Systems zur Nutzung der BAREOS-Datensicherung des URZs an der TU Chemnitz:
Installation
- Installation des BAREOS-Clients, in Anlehnung an die BAREOS-Dokumentation
- Download der aktuellen BAREOS-Client-Software für Windows von der BAREOS-Downloadseite
- Beispiel für den Installer:
# Der Installationspfad kann beibehalten werden: C:\Program Files\Bareos # Die Standard-Komponenten sind für den Bareos-Backup-Client ausreichend und müssen nicht erweitert werden: * File Daemon (Client) * File Daemon and base links * File Daemon Plugins * Open Firewall fo File Daemon * User Interface * Tray-Monitor (Optional) # Der Konfigurationsvorschlag kann vorerst übernommen werden und wird durch eine Konfiguration aus dem IdM des URZs der TU-Chemnitz ersetzt. # Die Hinweise zur Bareos Director Configration können ignoriert werden.
- Auf Windows-Systemen ist in der Regel die interne Firewall aktiv, bei welcher der Bareos-Installer bereits Ausnahmen für den Bareos-Port 9102 definiert. Diese Ausnahmen sind jedoch nicht auf IP-Adressen beschränkt. Daher ist zu empfehlen, die Einträge nur auf unseren BAREOS Backup-Server backup.hrz.tu-chemnitz.de (IPv4: 134.109.228.179, IPv6: 2001:638:911:b0e:134:109:228:179) und die lokale Adresse IPv4: 127.0.0.1 zu beschränken.
Konfiguration
- Die Konfigrationsdateien für den Bareos-Klienten werden im IdM für jeden einzelnen Auftrag bereitgestellt: BAREOS-Backups im IdM-Portal
- Über den Link 'Download client configuration' werden neben der README.txt die Konfigurationsdateien bareos-dir.conf sowie myself.conf angeboten.
- Das entpackte Archiv "bareos_config.zip" enthält:
README.txt # Einrichtungshinweise bareos-dir.conf # BAREOS Director Konfiguration, enthält bereits das Password für den BAREOS-Klienten myself.conf # Klient-Konfiguration für BAREOS, enthält neben dem Hostnamen auch die Verschlüsselungseinstellungen sowie Schlüssel-Pfade urz-master.pub.key # öffentlicher URZ-Master-Schlüssel, OPTINALER Notfallschlüssel zur Datenentschlüssel über das URZ
- bareos-dir.conf
Überschreiben der "bareos-dir.conf" im Verzeichnis C:\ProgramData\Bareos\bareos-fd.d\director
- myself.conf
Überschreiben der „myself.conf“ im Verzeichnis C:\ProgramData\Bareos\bareos-fd.d\client
- urz-master.pub.key
OPTIONAL: Kopieren des „urz-master.pub.key“ in Verzeichnis C:\ProgramData\Bareos\bareos-fd.d\client
Wofür wird der urz-master.pub.key benötigt?
Soll eine Verschlüsselung der Datensicherung zur Anwendung kommen, muss immer ein eigenes Schlüsselpaar (siehe nächster Punkt) erzeugt werden. Wird zusätzlich der „urz-master.pub.key“ auf dem BAREOS-Klienten bereitgestellt und in die Konfiguration eingebunden, besteht die Möglichkeit, dass das URZ beim Verlust des eigenen Schlüsselpaars zur Entschlüsselung der Daten im Ausnahmefall bzw. Notfall behilflich sein kann. Dabei muss unbedingt beachtet werden, dass bei einem sehr hohen Schutzbadarf in dem Fall auch Dritte (das URZ) Zugriff auf die Daten haben. Ist dies nicht gewünscht, muss auf diese Zusatzabsicherung für den Schlüsselverlust verzichtet werden!
Backup-Verschlüsselung:
Über die myself.conf werden im Wesentlichen die Details zur BAREOS Backup-Verschlüsselung definiert. Eine Beispielkonfiguration für den Host „pelagios.hrz.tu-chemnitz.de“ kann wie folgt aufgebaut sein:Wichtig: Hier müssen die Pfadangaben mit einem Slash statt einem Backslash wie sonst typisch ausgeführt werden!
Client {
Name = pelagios.hrz.tu-chemnitz.de
Maximum Concurrent Jobs = 1
PKI Signatures = Yes
PKI Encryption = Yes
PKI Cipher = aes256
## Öffentlicher und privater Schlüssel zur Backup-Verschlüsselung:
## (Generierung durch den Klienten notwendig!)
## Windows: Im Pfad muss jeweils ein Slash statt einem Backslash verwendet werden!
PKI Keypair = "C:/ProgramData/Bareos/bareos-fd.d/client/pelagios.hrz.tu-chemnitz.de-fd.pem"
## URZ Master-Schlüssel zur Backup-Verschlüsselung
## (Standardmäßig deaktiviert - bitte weitere Hinweise beachten!)
#PKI Master Key = "C:/ProgramData/Bareos/bareos-fd.d/client/urz-master.pub.key"
}
- Soll die Backup-Verschlüsselung zur Anwendung kommen (PKI Encryption = Yes), muss ein Schlüsselpaar zum BAREOS-Klienten als PEM-File generiert und bereitgestellt werden (Beispiel: „C:\ProgramData\Bareos\bareos-fd.d\client\pelagios.hrz.tu-chemnitz.de-fd.pem”)
- Zur Generierung kann wie folgt vorgegangen werden:
- Empfehlung: Die Schlüsselgenerierung auf einem Linux-System durchführen. Dazu können gern Referenz- bzw. Compute-Server vom URZ genutzt werden, wie z.B. das System gigant.hrz.tu-chemnitz.de. Die Verbindung kann entweder über Hilfs-Tools wie Putty (für die SSH-Verbindung) sowie WinSCP (für die Datenübertragung) hergestellt werden oder direkt über die Windows-Eingabeaufforderung. Hier ein Beispiel mit der Windows-Eingabeaufforderung und dem URZ-Nutzerkennzeichen „otto“ sowie mit einer Ablage der generierten Dateien im Home-Verzeichnis:
P:\> ssh otto@gigant.hrz.tu-chemnitz.de The authenticity of host 'gigant.hrz.tu-chemnitz.de (2001:638:911:b0e:134:109:228:33)' can't be established. ECDSA key fingerprint is SHA256:xxxxx Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'gigant.hrz.tu-chemnitz.de (2001:638:911:b0e:134:109:228:33)' (ECDSA) to the list of known hosts. otto@gigant.hrz.tu-chemnitz.de's password: Last login: Tue May 25 09:11:17 2023 from pelagios.hrz.tu-chemnitz.de [otto@gigant ~]$
# Beispiel für die Schlüssel-Generierung (Länge 4096 Bit) zu Host „pelagios.hrz.tu-chemnitz.de“ # privater Schlüssel: [otto@gigant ~]$ openssl genrsa -out pelagios.hrz.tu-chemnitz.de.key 4096 # Zertifikat zum privaten Schlüssel: [otto@gigant ~]$ openssl req -new -days 5475 -key pelagios.hrz.tu-chemnitz.de.key -x509 -out pelagios.hrz.tu-chemnitz.de.cert -subj "/C=DE/ST=Sachsen/L=Chemnitz/O=Technische Universitaet Chemnitz/CN=pelagios.hrz.tu-chemnitz.de" # Zusammführung beider Informationen: [otto@gigant ~]$ cat pelagios.hrz.tu-chemnitz.de.key pelagios.hrz.tu-chemnitz.de.cert > pelagios.hrz.tu-chemnitz.de-fd.pem
- Kopie der PEM-Datei (im Beispiel „pelagios.hrz.tu-chemnitz.de-fd.pem“) vom Linux-System kann ebenfalls mit Hilfe der Windows-Eingabeaufforderung erfolgen. Dabei ist wie folgt vorzugehen (die Angabe des Zielpfades ist ".", was bedeutet, dass hier das Windows-Home-Verzeichnis des jeweiligen Nutzers verwendet wird):
P:\> scp otto@gigant.hrz.tu-chemnitz.de:/afs/tu-chemnitz.de/home/urz/o/otto/pelagios.hrz.tu-chemnitz.de-fd.pem . otto@gigant.hrz.tu-chemnitz.de's password: pelagios.hrz.tu-chemnitz.de-fd.pem 100% 5284 89.6KB/s 00:00 P:\>Im Anschluss muss die PEM-Datei in den Zielpfad, wie in der myself.com angegegen (beispielsweise „C:\ProgramData\Bareos\bareos-fd.d\client\pelagios.hrz.tu-chemnitz.de-fd.pem“), verschoben werden.
Achtung – sichere Aufberwahrung des Schlüsselpaares!
Das eben generierte Schlüsselpaar – bestehend aus dem privaten Schlüssel und dem Zertifikat zum BAREOS-Klienten – wird zum Verschlüsseln und Entschlüsseln benötigt. Aus diesem Grund muss das Schlüsselpaar zusätzlich an einem sicheren Ort außerhalb des zu sichernden Systems aufbewahrt werden. Kommt es zu einen Defekt oder Totalausfall des Systems, auf dem der BAREOS-Klient eingerichtet ist, kann die verschlüsselte Datensicherung nur mit Besitz des Schlüsselpaares (ggf. auf einem anderen System) wiederherstellt werden!# Löschen der sensiblen Schlüsseldateien: [otto@gigant ~]$ shred -u pelagios.hrz.tu-chemnitz.de.key pelagios.hrz.tu-chemnitz.de.cert pelagios.hrz.tu-chemnitz.de-fd.pem
Einrichtung ohne Verschlüsselung:
Soll die Backup-Verschlüsselung entfallen, ist die myself.conf lediglich wie in der nachfolgenden Beispielkonfiguration für den Host „pelagios.hrz.tu-chemnitz.de“ anzugeben:Client {
Name = pelagios.hrz.tu-chemnitz.de
Maximum Concurrent Jobs = 1
}