Hallo zusammen, ich möchte gerne ein Backup von einem Mailserver erstellen, der in der DMZ steht. Ziel ist ein Fileserver, der im LAN steht. Gebackupt werden soll u.a.. /etc, /var usw, also Sachen, die uU nur root lesen kann. Das Problem dabei ist, daß der Mailserver den Fileserver durch die Firewall nicht sieht. D.h. es kann nicht root auf dem Mailserver das Backup ausführen, und die Daten als irgend ein beliebiger Nutzer auf den Fileserver kippen. Vielmehr müßte ich das Backup vom Fileserver aus anstoßen, und der müßte ein paßwortloses ssh-root-Login auf den Mailserver kriegen, um alles lesen zu können. Es gefällt mir nicht besonders, daß ich einen Root-Login auf den Mailserver erlauben soll. Welche Möglichkeiten hätte ich noch? Danke+Gruß! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Hallo zusammen,
ich möchte gerne ein Backup von einem Mailserver erstellen, der in der DMZ steht. Ziel ist ein Fileserver, der im LAN steht. Gebackupt werden soll u.a.. /etc, /var usw, also Sachen, die uU nur root lesen kann.
Das Problem dabei ist, daß der Mailserver den Fileserver durch die Firewall nicht sieht. D.h. es kann nicht root auf dem Mailserver das Backup ausführen, und die Daten als irgend ein beliebiger Nutzer auf den Fileserver kippen.
Vielmehr müßte ich das Backup vom Fileserver aus anstoßen, und der müßte ein paßwortloses ssh-root-Login auf den Mailserver kriegen, um alles lesen zu können.
Es gefällt mir nicht besonders, daß ich einen Root-Login auf den Mailserver erlauben soll. Welche Möglichkeiten hätte ich noch?
Danke+Gruß!
Hi, kannst Du nicht den Mailserver per root-cronjob das Backup lokal zwischenspeichern lassen und der Fileserver holt es dann nur ab? Brauchst Du natürlich den entsprechenden Platz auf dem Mailserver ;-( cu jth -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Joerg Thuemmler schrieb:
Andre Tann schrieb:
Hallo zusammen,
ich möchte gerne ein Backup von einem Mailserver erstellen, der in der DMZ steht. Ziel ist ein Fileserver, der im LAN steht. Gebackupt werden soll u.a.. /etc, /var usw, also Sachen, die uU nur root lesen kann.
Das Problem dabei ist, daß der Mailserver den Fileserver durch die Firewall nicht sieht. D.h. es kann nicht root auf dem Mailserver das Backup ausführen, und die Daten als irgend ein beliebiger Nutzer auf den Fileserver kippen.
Vielmehr müßte ich das Backup vom Fileserver aus anstoßen, und der müßte ein paßwortloses ssh-root-Login auf den Mailserver kriegen, um alles lesen zu können.
Ja, aber das ist doch genau der Sinn von SSH, hier wohl mit scp oder rsync.
Es gefällt mir nicht besonders, daß ich einen Root-Login auf den Mailserver erlauben soll. Welche Möglichkeiten hätte ich noch?
Danke+Gruß!
Hi,
kannst Du nicht den Mailserver per root-cronjob das Backup lokal zwischenspeichern lassen und der Fileserver holt es dann nur ab? Brauchst Du natürlich den entsprechenden Platz auf dem Mailserver ;-(
Letzteres wäre wohl das geringste Problem, aber wenn es um Dateien geht, die nur root lesen kann, dann wird sich wohl einer so seine Sicherheitsgedanken gemacht haben. Wenn Du jetzt die Sicherung für einen anderen Benutzer lesbar machst, dann musst Du zwar keine passwortlose root-Anmeldung mehr erlauben, immerhin aber eine für einen unprivilegierten Benutzer, der aber dann die Sicherung lesen können muss. Damit machst Du IMHO eine wesentlich größeres Sicherheitsleck auf, als mit SSH. Du könntest auch die Sicherung selber auf dem Meil-Server verschlüsseln (in ein verschlüsseltes Image packen), das der unprivilegierte Abholer nicht entschlüsseln, wohl aber lesen kann. Selbst root auf dem Backup-System müsste das Image nicht entschlüsseln können, wenn im Restore-Fall einfach das komplette, verschlüsselte Image wieder auf den Mail-Server transferiert wird. HTH, Tom -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, noch eine Ergänzung zu meinem Posting von eben. Joerg Thuemmler schrieb:
Andre Tann schrieb:
Hallo zusammen,
ich möchte gerne ein Backup von einem Mailserver erstellen, der in der DMZ steht. Ziel ist ein Fileserver, der im LAN steht. Gebackupt werden soll u.a.. /etc, /var usw, also Sachen, die uU nur root lesen kann.
Das Problem dabei ist, daß der Mailserver den Fileserver durch die Firewall nicht sieht. D.h. es kann nicht root auf dem Mailserver das Backup ausführen, und die Daten als irgend ein beliebiger Nutzer auf den Fileserver kippen.
Vielmehr müßte ich das Backup vom Fileserver aus anstoßen, und der müßte ein paßwortloses ssh-root-Login auf den Mailserver kriegen, um alles lesen zu können.
Es gefällt mir nicht besonders, daß ich einen Root-Login auf den Mailserver erlauben soll. Welche Möglichkeiten hätte ich noch?
user@rechner:~> ssh user-xy@mailserver
Password:
user-xy@mailserver~> su -l [mailuser|root]
[mailuser|root]@mailserver:~ #
Hi Andre! On Fr, 19 Mär 2010, Andre Tann wrote:
ich möchte gerne ein Backup von einem Mailserver erstellen, der in der DMZ steht. Ziel ist ein Fileserver, der im LAN steht. Gebackupt werden soll u.a.. /etc, /var usw, also Sachen, die uU nur root lesen kann.
Das Problem dabei ist, daß der Mailserver den Fileserver durch die Firewall nicht sieht. D.h. es kann nicht root auf dem Mailserver das Backup ausführen, und die Daten als irgend ein beliebiger Nutzer auf den Fileserver kippen.
Vielmehr müßte ich das Backup vom Fileserver aus anstoßen, und der müßte ein paßwortloses ssh-root-Login auf den Mailserver kriegen, um alles lesen zu können.
Es gefällt mir nicht besonders, daß ich einen Root-Login auf den Mailserver erlauben soll. Welche Möglichkeiten hätte ich noch?
Ich würde lokal alles in ein Archiv packen und dass vom Fileserver abholen. duplicity böte sich da an, dann wird auch gleich verschlüsselt. Mit freundlichen Grüßen Christian -- Das schönste Glück des denkenden Menschen ist, das Erforschliche erforscht zu haben und das Unerforschliche zu verehren. -- Johann Wolfgang von Goethe -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Servus Christian, Christian Brabandt, Freitag 19 März 2010:
Ich würde lokal alles in ein Archiv packen und dass vom Fileserver abholen. duplicity böte sich da an, dann wird auch gleich verschlüsselt.
Das geht in die gleiche Richtung wie der Vorschlag von Jörg. Ja, das könnte ich machen, und das hatte ich auch schon so überlegt. Richtig kuschlig ist diese Alternative aber auch nicht, weil da ua ein Mailspool mit ca. 30 GB und zigtausenden Dateien herumliegt. Dieses Ding ohne Not zu duplizieren ist blöd. Auf der anderen Seite: wenn ich alles täglich in ein Archiv packe, dann kann ich auf Seiten des Fileservers kein rsnapshot-artiges Backup mehr fahren, denn die Archivdatei ändert sich schon dann, wenn sich auch nur irgendeine Mail ändert. So würde rsnapshot gar keinen Platz mehr sparen können. Und dann muß man schließlich die beiden Backups koordinieren: erst dupliziert sich der Mailserver irgendwie, und der Fileserver darf nur abholen, wenn der erste Vorgang abgeschlossen ist. Tja, aber da ich selbst auch keine bessere Idee habe, werde ich das wohl mal so ähnlich aufsetzen. Danke für die Einschätzungen! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On 19.03.2010, Andre Tann wrote:
Tja, aber da ich selbst auch keine bessere Idee habe, werde ich das wohl mal so ähnlich aufsetzen.
Ich wuerde das mittels rsync via ssh loesen, wie du am Anfang auch wohl selbst gedacht hattest. Das allererste Backup als Voll-Backup, dazu den Server anhalten und vom Netz nehmen. Wenn das abgeschlossen ist, kannst du die Abgleiche im laufenden Betrieb fahren. Der Tunnel wird dabei vom Fileserver aus aufgebaut. Root-Login fuer ssh verbieten, und nur login via keyfile. 30 GB in ein Archiv direkt auf dem Server packen, das knallt richtig rein, die Last geht dank des massiven disk I/O hoch bis in den Himmel und wird den Server sowieso lahmlegen und kaeme fuer mich nicht in Frage. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Andre! On Fr, 19 Mär 2010, Andre Tann wrote:
Das geht in die gleiche Richtung wie der Vorschlag von Jörg. Ja, das könnte ich machen, und das hatte ich auch schon so überlegt.
Richtig kuschlig ist diese Alternative aber auch nicht, weil da ua ein Mailspool mit ca. 30 GB und zigtausenden Dateien herumliegt. Dieses Ding ohne Not zu duplizieren ist blöd.
Auf der anderen Seite: wenn ich alles täglich in ein Archiv packe, dann kann ich auf Seiten des Fileservers kein rsnapshot-artiges Backup mehr fahren, denn die Archivdatei ändert sich schon dann, wenn sich auch nur irgendeine Mail ändert. So würde rsnapshot gar keinen Platz mehr sparen können.
Du weißt, dass duplicity bereits ein rsnapshot ähnliches differenzielles Backup anlegt? Nur halt verschlüsselt und in einem Archiv. Mit freundlichen Grüßen Christian -- Man denkt sich fremden Haß gegen uns viel heller und ergreifender als das fremde Lieben. Besonders stellt man sich in der Ehe jenen heller vor als dieses. -- Jean Paul -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am 19.03.2010 12:51, schrieb Andre Tann:
Hallo zusammen,
ich möchte gerne ein Backup von einem Mailserver erstellen, der in der DMZ steht. Ziel ist ein Fileserver, der im LAN steht. Gebackupt werden soll u.a.. /etc, /var usw, also Sachen, die uU nur root lesen kann.
Das Problem dabei ist, daß der Mailserver den Fileserver durch die Firewall nicht sieht. D.h. es kann nicht root auf dem Mailserver das Backup ausführen, und die Daten als irgend ein beliebiger Nutzer auf den Fileserver kippen.
Vielmehr müßte ich das Backup vom Fileserver aus anstoßen, und der müßte ein paßwortloses ssh-root-Login auf den Mailserver kriegen, um alles lesen zu können.
Es gefällt mir nicht besonders, daß ich einen Root-Login auf den Mailserver erlauben soll. Welche Möglichkeiten hätte ich noch?
Danke+Gruß!
Server virtualisieren und die komplette virtuelle Maschine nächstens auf eine USB-Platte per snapshot sichern. Geht schnell und du hast direkt eine Reserve zur Hand wenn das System mal stirbt. Die Sicherung danach von innen per z.B. rsync ins innere Netz ziehen. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (6)
-
Andre Tann -
Christian Brabandt -
Heinz Diehl -
Joerg Thuemmler -
Ralf Prengel -
Thomas Michalka