Universitätsrechenzentrum
Einrichten

Einrichtung

Linux

Vom Server des URZ wird i. d. R. nachts mittels ssh auf dem Klienten ein Skript (backup.sh) gestartet, das mit root-Rechten laufen muss und alle Daten mit dem Server synchronisiert. Die Kommunikation erfolgt über einen geeigneten Nutzer auf dem Klienten mittels eines vereinbarten Security-Keys.

Die folgenden Schritte beschreiben das Einrichten eines Klienten für die Nutzung des Backupdienstes mittels rsync im URZ der TU Chemnitz:

  1. Kontrolle der installierten Software span rsync
  2. Installation des Backup-Skripts nach /usr/local/sbin/backup.sh – das Skript muss ausführbar sein (chmod +x backup.sh). Das Kommando rsync wird auf dem Klienten im Standardsuchpfad (z. B. /usr/bin/ ) erwartet. Sollte rsync an einer anderen Stelle installiert sein, so müsste der Pfad entsprechend in dem Skript ergänzt werden, z. B. 
    PATH=$PATH:Rsync_Path
  3. OPTIONAL: Vorgelagertes Skript einbetten (für z. B. vorherige Sicherungs- oder Archivierungsabläufe), bevor RSYNC ausgeführt wird. Dazu kann folgendes Skript mit angegebenen Pfad erstellt und individuell angepasst werden: /usr/local/sbin/backup-runbefore.sh
    Das Skript muss ausführbar sein (chmod +x backup-runbefore.sh) und sollte mit "#!/bin/sh" beginnen.
  4. Die Kommunikation mit dem Server sollte nicht über den Nutzer root laufen, dieser ist Hauptangriffsziel von Hacker-Attacken. Es sollte ein lokaler Benutzer BACKUP_USER (z. B. rsync) für das Backup lokal eingerichtet werden, der als ssh-Partner für den RSYNC-Server dient und selbst per sudo root-Rechte für das Sichern der Daten erlangt. Der lokale Name von BACKUP_USER muss beim Antrag angegeben werden. Der Name BACKUP_USER in dieser Beschreibung muss an allen Stellen durch den real gewählten Namen ersetzt werden !
  5. Kontrolle der ssh-Konfiguration: die Backupserver backup01.hrz backup02.hrz backup03.hrz müssen per ssh (Port 22) auf den zu sichernden Rechner zugreifen können, in /etc/ssh/sshd_config sollten folgende Optionen kontrolliert werden: 
    PasswordAuthentication yes
ChallengeResponseAuthentication no
RhostsRSAAuthentication yes
IgnoreRhosts no
  6. Einrichten des HOME-Verzeichnisses für den ausgewählten Benutzer 
    cd ~BACKUP_USER # HOME-Verzeichnis des für das Backup eingerichteten Nutzers !
mkdir .ssh
chmod 0755 .ssh # es genügt auch chmod 0711 .ssh
# die Datei authorized_keys wird per E-Mail vom URZ bereitgestellt
# ACHTUNG: falls .ssh/authorized_keys existiert, muss dieses angepasst werden
cat authorized_keys_vom_URZ >>.ssh/authorized_keys
chmod 0644 .ssh/authorized_keys
  7. Root-Rechte für Backup-Skript einrichten: 
    visudo # ältere Versionen: vi /etc/sudoers

# BACKUP_USER durch realen Namen des Backup-Nutzers ersetzen !
BACKUP_USER ALL = NOPASSWD: SETENV: /usr/local/sbin/backup.sh
# ACHTUNG: Option requiretty darf NICHT gesetzt sein:
# Defaults requiretty
# sonst typischer Fehler:  sudo: no tty present and no askpass program specified
# sollte die Option env_keep konfiguriert sein, muss folgende Variable ergänzt werden:
Defaults env_keep = "... SSH_ORIGINAL_COMMAND"
# diese benötigt rsync zur Übergabe seiner Argumente, sonst typischer Fehler:
# protocol version mismatch -- is your shell clean?
# ACHTUNG: im HOME-Verzeichnis des BACKUP_USER sollten keine Startup-Skripte stehen
  8. Test des root-Zugriffs zu Backup-Skript:
    • ssh BACKUP_USER@BACKUP_KLIENT
      ACHTUNG : Es dürfen keine Zusatzausschriften auf der Konsole erscheinen !
      HINWEIS : die Anzeige von /etc/motd kann durch Anlegen des leeren Files .hushlogin im HOME-Verzeichnis verhindert werden.
    • Aufruf: sudo [-E] /usr/local/sbin/backup.sh
      ACHTUNG: die Option -E gilt ab Version sudo-1.6.9
      BITTE: Es gibt Versionen von sudo, die NUR mit /bin/sh aufgerufen werden können, in diesem Fall bitte /bin/sh -c nach sudo in der Datei authorized_keys ergänzen. BItte in diesem Fall auch Hinweis an Server-Admin.
    • Kontrolle Antwort: Rejected
  9. Mitteilung über den eingerichteten Nutzer an das URZ und Absprache einer geeigneten Backup-Zeit
  10. Das Backup (RSYNC) wird vom URZ (per cron) gesteuert
  11. Nach dem Ende der Datensicherung werden Informationen zum Backup im AFS bereitgestellt im Verzeichnis:
    /afs/tu-chemnitz.de/admin/backupservice/URZBACKUP/info/hostname
    info gibt Informationen über die vorhandenen Sicherungsstände und deren Größen
    log enthält log-Informationen vom täglichen rsync-Aufruf
    Übersicht zu den Daten der Struktureinheit
  12. Der Zugriff auf die Datensicherungen kann per NFS erfolgen, siehe dazu den Punkt Wiederherstellen von Daten
  13. Bei Nutzung eines Firewalls "vor" dem Klienten müssen die entsprechenden Ports freigeschaltet werden. im Falle Linux und ssh ist das TCP-Port 22, siehe dazu auch http://samba.anu.edu.au/rsync/firewall.html

Windows

Die folgenden Schritte beschreiben das Einrichten eines Windows-Klienten für die Nutzung des Backupdienstes mittels rsync im URZ der TU Chemnitz.

Freigabe per SMB

Mit dieser Variante werden die Daten innerhalb des Campusnetzes unverschlüsselt zum Server übertragen. Das sollte im Allgemeinen bei der benutzten Infrastruktur sicher genug für eine Datensicherung sein.

Für alle zu sichernden Daten sind für einen definierten Benutzer (z. B. backup) alle zu sichernden Verzeichnisse rekursiv mit Vollzugriff freizugeben. Der Name der Freigabe (z. B. Backup) unter Windows ist im Antrag als Backup-Verzeichnis anzugeben, z. B. /Backup . Hinweise zu Firewall-Einstellungen sind weiter unten zu finden.

Die zu sichernden Ordner (Freigaben) werden auf dem RSYNC-Server per SMB(cifs) für das Backup zur festgelegten Zeit gemountet und mittels rsync lokal gesichert.

Der Benutzername des lokalen Backupnutzers (z. B. backup) ist bei der Beantragung des Backup mit anzugeben (unter Bemerkung) ebenso wie die gewünschte Zeit für das Starten des Backup auf dem URZ-Server. Beim Einrichten das Backup wird das Passwort des Backupnutzers telefonisch erfragt - Backupnutzer und Passwort dienen später auch zum Zugriff auf die gesicherten Daten. Hinweise zum Einrichten eines Backup-Nutzers sind weiter unten zu finden.

Einrichten eines rsync-Klienten

Für Windows Betriebssysteme gibt es mittlerweile ein ganze Menge verschiedener rsync-Software-Lösungen, vgl. dazu am Besten rsync auf Wikipedia. Dort findet man unter anderem auch einen Link zu DeltaCopy und cwRsync

Die Software kann auf dem Windows-Klient installiert werden. Dann muss für rsync ein Dienst (service) eingerichtet werden, der vom Backup-Server des URZ über einen Benutzer und ein Passwort als Freigabe erreichbar ist. Auf dieser Basis ist ein (ungesichertes) Backup möglich. Im Antrag sind Benutzer und Freigabe anzugeben im Kommtarfeld ein Hinweis auf Nutzung des Protokolls rsync.

Mit etwas mehr Aufwand kann auch in einer cygwin-Umgebung eine ssh-Verbindung eingerichtet werden zur verschlüsselten Datenübertragung. Hinweise dazu findet man u.a. auf der HOME-Page von rsync unter Dokumentation

Informationen zum Backup

  • Nach dem Ende der Datensicherung werden Informationen zum Backup im AFS bereitgestellt im Verzeichnis:
    /afs/tu-chemnitz.de/admin/backupservice/URZBACKUP/info/hostname
  • info gibt Informationen über die vorhandenen Sicherungsstände und deren Größen
  • log enthält log-Informationen vom täglichen rsync-Aufruf
  • Übersicht zu den Daten der Struktureinheit

Zugriff auf die gesicherten Daten

Der Zugriff auf die gesicherten Daten kann per SMB erfolgen, z. B. 
net use x: \\backupXX.hrz.tu-chemnitz.de\<hostname_kurz> /USER <hostname_kurz>

Das Passwort entspricht dem SMB-Passwort des Klienten

Hinweise zum Einrichten des Backup-Nutzers

  • evtl. Backup-Nutzer einrichten
    • Benutzer backup anlegen
    • Rechte der Administrator-Gruppe vergeben
    • alternativ ggf. Gruppe Backup-Admins anlegen
  • Ordner freigeben (Beispiel-Aktionen im Explorer) :
    • auf entsprechendes Verzeichnis gehen
    • mit rechter Maustaste Menü "Freigabe und Sicherheit" aktivieren
    • Freigabe: Ordner freigeben
    • Freigabename festlegen, z. B. BackupDir
    • Berechtigungen hinzufügen: Nutzer backup mit Vollzugriff; Achtung : Setzen des Archivbits erlauben !(Allg./Erweitert) (in anderen Windows-Systemen evtl. andere Bezeichnungen)
    • Benutzerbegrenzung: Maximum erlaubt
    • Berechtigungen: für Nutzer backup Vollzugriff erlauben
      • Benutzerrechte für backup:
      • „Sichern von Dateien und Verzeichnissen“
      • „Wiederherstellen von Dateien und Verzeichnissen“
  • Bei Verwendung eines Firewalls:
    • Systemsteuerung - Windows-Firewall
    • Allgemein: Aktiv
    • Ausnahmen: Datei- und Druckerfreigabe: bearbeiten TCP-Port 139 und 445 - Bereich ändern: z. B. benutzerdef. Liste: backup01.hrz.tu-chemnitz.de (134.109.229.55), backup02.hrz.tu-chemnitz.de (134.109.229.56), backup03.hrz.tu-chemnitz.de (134.109.228.69), backup04.hrz.tu-chemnitz.de (134.109.228.71)
    • Erweitert: AFS und LAN aktiviert
    • Test Firewall-Einstellungen: Eingabefenster: netsh firewall show config
    • Kontrolle erlaubte Verbindungen: C:\WINDOWS\pfirewall.log
    • bei neueren Windows-Versionen (z.B. W2008) wird per default der Port 445 benutzt (plain SMB over TCP)
Achtung! Mögliche Beeinflussung der Backup-Prozesse durch parallel laufende Applikationen vermeiden.