Muokataan sivua BackZoup
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
TÄMÄ ARTIKKELI ON KESKEN! | |||
BackZoup on varmuuskopiointijärjestelmä, joka mahdollistaa tietokoneen varmuuskopioinnin tietoturvallisesti Internetin kautta sellaiselle kohdetietokoneelle, jonka luottamuksellisuutta ei voida varmistaa. Järjestelmässä tieto ensin salataan ja sitten siirretään salattua siirtotietä pitkin kohteeseen. Tällä saavutetaan seuraavat edut: | |||
* Tieto ei ole urkittavissa tiedonsiirron aikana. | * Tieto ei ole urkittavissa tiedonsiirron aikana. | ||
* Tieto ei ole urkittavissa kohdetietokoneella. | * Tieto ei ole urkittavissa kohdetietokoneella. | ||
* Kohdetietokoneeseen ei tarvita | * Kohdetietokoneeseen ei tarvita pääkäyttäjän oikeuksia. | ||
Tällainen järjestelmä voidaan saavuttaa usealla tavalla, joista BackZoup perustuu yhdistelmälle [[NBD]] + [[ssh]] + [[LUFS]] + [[rdiff-backup]]. Mikäli käytössä on [[LVM]], saadaan varmuuskopioiden ottamiseen lisää joustavuutta. Näiden eri sovellusten tuntemus ei ole tarpeen, koska tarvittavat vaiheet neuvotaan tässä artikkelissa. | Tällainen järjestelmä voidaan saavuttaa usealla tavalla, joista BackZoup perustuu yhdistelmälle [[NBD]] + [[ssh]] + [[LUFS]] + [[rdiff-backup]]. Mikäli käytössä on [[LVM]], saadaan varmuuskopioiden ottamiseen lisää joustavuutta. Näiden eri sovellusten tuntemus ei ole tarpeen, koska tarvittavat vaiheet neuvotaan tässä artikkelissa. | ||
Rivi 10: | Rivi 12: | ||
==Taustaa tekniikasta== | ==Taustaa tekniikasta== | ||
Kaikki käyttäjät käyttävät samaa tunnusta, erottelu tapahtuu ssh-avaimilla. | |||
Luodaan tunnus järjestelmään, jolle ei aseteta salasanaa | |||
# adduser --disabled-password netbackup | |||
==NBD:n kääntäminen ja asennus== | ==NBD:n kääntäminen ja asennus== | ||
NBD tarvitsee lähdekoodimuutoksen eli pätsin toimiakseen ssh:n kautta. | |||
Ladataan nbd:n versio 2.9.11. Se onnistuu esimerkiksi osoitteesta | |||
http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2 | |||
tai sivujen http://sourceforge.net/projects/nbd/ kautta. Mukaile seuraavia | |||
esimerkkejä: | |||
Otetaan käyttäjän oikeudet: | |||
# su - netbackup | |||
Jonka jälkeen ladataan, pätsitään ja käännetään nbd | |||
Voit jättää --prefixin pois, jos haluat asentaa koko järjestelmään. | |||
# cd | |||
# mkdir -p tmp nbd/etc/nbd-server .ssh | |||
# cd tmp | |||
# wget http://surfnet.dl.sourceforge.net/sourceforge/nbd/nbd-2.9.11.tar.bz2 | |||
# wget http://iki.fi/zouppen/b/nbd-2.9.11-ssh2.patch | |||
# tar -xjf nbd-2.9.11.tar.bz2 | |||
# cd nbd-2.9.11 | |||
# patch -p0 <../nbd-2.9.11-ssh2.patch | |||
# ./configure --prefix=$HOME/nbd | |||
# make | |||
# make install | |||
Jos kaikki meni hyvin, sovellus on nyt asennettu hakemistoon ~netbackup/nbd. | |||
Voidaan poistaa väliaikaistiedostot | |||
# cd | |||
# rm -r tmp | |||
Tehdään nbd:n asetustitiedosto. Tätä ei tarvita varsinaisesti mihinkään, mutta | |||
sillä saadaan nbd-server olemaan valittamatta puuttuvasta asetustiedostosta. | |||
Suorita seuraavat rivit | |||
# cat >~/nbd/etc/nbd-server/config <<EOF | |||
[generic] | |||
[export] | |||
exportname = /blah | |||
port = 0 | |||
EOF | |||
Palataan takaisin root-käyttäjäksi | Palataan takaisin root-käyttäjäksi | ||
# exit | |||
==Käyttäjäkohtaiset asetukset== | ==Käyttäjäkohtaiset asetukset== | ||
Nyt voidaan tehdä asetukset eri käyttäjille. Toista tätä tarvittaessa. | Nyt voidaan tehdä asetukset eri käyttäjille. Toista tätä tarvittaessa. | ||
===Tallennustilan luonti=== | ===Tallennustilan luonti=== | ||
Varmuuskopiointitila voi olla joko tavallisia tiedostoja tai osioita. | Varmuuskopiointitila voi olla joko tavallisia tiedostoja tai osioita. | ||
Mikäli järjestelmässäsi on LVM käytössä, suosittelen sen käyttämistä. | Mikäli järjestelmässäsi on LVM käytössä, suosittelen sen käyttämistä. | ||
====LVM-osio==== | ====LVM-osio==== | ||
Mikäli käytössäsi on lvm, voit luoda varmuuskopio-osion seuraavasti: | |||
# lvcreate -L 10G -nmaakuth levy | |||
Se luo uuden kymmenen gigatavun | Se luo uuden kymmenen gigatavun osion nimeltään 'maakuth' lvm:n | ||
volumegroupiin nimeltään 'levy'. Uusi osio löytyy polusta /dev/mapper/levy-maakuth. | |||
Annetaan oikeudet osiolle: | Annetaan oikeudet osiolle: | ||
# chown netbackup /dev/mapper/levy-maakuth | |||
LVM- | LVM-osioiden sisältöä ei luontivaiheessa nollata. Jos osio sattuu | ||
levyllä kohtaan, jolla on ollut aiemmin jo dataa, kannattaa sisältö | levyllä kohtaan, jolla on ollut aiemmin jo dataa, kannattaa sisältö | ||
nollata, jotta levytilan uusi omistaja ei pääsisi lukemaan aiempaa | nollata, jotta levytilan uusi omistaja ei pääsisi lukemaan aiempaa | ||
sisältöä. Tämä vie aikaa lukuisia minuutteja osion koosta riippuen. | sisältöä. Tämä vie aikaa lukuisia minuutteja osion koosta riippuen. | ||
# dd if=/dev/zero of=/dev/mapper/levy-maakuth | |||
====Tiedostojärjestelmä tiedostossa==== | ====Tiedostojärjestelmä tiedostossa==== | ||
Jos käytössäsi ei ole lvm:ää, niin toiseksi paras tapa on käyttää | |||
tavallisia tiedostoja. Se onnistuu menemällä hakemistoon, jossa käyttäjällä | |||
netbackup on kirjoitusoikeudet (esimerkiksi ~netbackup) ja komentamalla: | |||
# dd bs=1048576 count=0 seek=10000 of=maakuth.img | |||
Tämä luo noin 10 gigatavun tiedoston nykyiseen hakemistoon, joka on | Tämä luo noin 10 gigatavun tiedoston nykyiseen hakemistoon, joka on | ||
Rivi 116: | Rivi 110: | ||
===Käyttäjän varmennus=== | ===Käyttäjän varmennus=== | ||
Otetaan käyttäjän oikeudet | Otetaan käyttäjän oikeudet | ||
# su - netbackup | |||
Pyydä käyttäjältä hänen julkinen SSH-avaimensa. Hän voi halutessaan luoda uuden | Pyydä käyttäjältä hänen julkinen SSH-avaimensa. Hän voi halutessaan luoda uuden | ||
avaimen | avaimen ssh-keygen -sovelluksella tai käyttää olemassa olevaa. | ||
Muokkaa tiedostoa | Muokkaa tiedostoa .ssh/authorized_keys. Huolehdi, että käyttämäsi editori ei | ||
rivitä tiedostoa automaattisesti. Lisää tiedoston loppuun rivi: | |||
command="nbd/bin/nbd-server -s 0 LAITE",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty AVAIN | command="nbd/bin/nbd-server -s 0 LAITE",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty AVAIN | ||
Korvaa LAITE tiedostolla, johon käyttäjä tallentaa datansa. Loit sen äskettäin. | Korvaa LAITE tiedostolla, johon käyttäjä tallentaa datansa. Loit sen äskettäin. | ||
Esimerkiksi | Esimerkiksi /dev/mapper/levy-maakuth . Korvaa avain käyttäjän avaimella, alkaa | ||
usein ssh-rsa tai ssh-dss. | usein ssh-rsa tai ssh-dss. | ||
==Yhteyden muodostaminen== | ==Yhteyden muodostaminen== | ||
Nyt homma on konffattu ja voit kokeilla käytännössä. Pyydä kaveriasi kääntämään | |||
nbd tämän tiedoston alun ohjeiden mukaan ja komentamaan pääkäyttäjänä: | nbd tämän tiedoston alun ohjeiden mukaan ja komentamaan pääkäyttäjänä: | ||
# ~/nbd/bin/nbd-client -cmd ssh -i POLKU_AVAIMEEN -e none netbackup@kaverin.kone.fi ';' /dev/nbd0 | |||
Tässä POLKU_AVAIMEEN on polku salaisen avaimen tiedostoon. Jos käytät samaa | Tässä POLKU_AVAIMEEN on polku salaisen avaimen tiedostoon. Jos käytät samaa | ||
Rivi 141: | Rivi 138: | ||
id_rsa. | id_rsa. | ||
Jos sovellus lopettaa ilman virhettä, on uusi etäinen | Jos sovellus lopettaa ilman virhettä, on uusi etäinen kovalevysi laittessa | ||
/dev/nbd0. | /dev/nbd0. | ||
Voit vaikka heti luoda levylle | Voit vaikka heti luoda levylle tiedostojärjestelmän mkfs:llä, liittää levyn | ||
mountilla ja sen jälkeen ruveta käyttämään. Kuitenkin kannattaa tutustua | |||
seuraavaan kappaleeseen, koska siinä neuvotaan salauksen käyttöönotto. | seuraavaan kappaleeseen, koska siinä neuvotaan salauksen käyttöönotto. | ||
Laitteen saat poistettua järjestelmästäsi komentamalla: | Laitteen saat poistettua järjestelmästäsi komentamalla: | ||
# ~/nbd/bin/nbd-client -d /dev/nbd0 | |||
==Salattu tiedostojärjestelmä== | ==Salattu tiedostojärjestelmä== | ||
Mikäli käytettävissäsi on LUKS, suosittelen sitä salaamiseen. Se tulee | |||
ainakin Ubuntu 8.10:n vakiovarusteena. | |||
Teen muutaman oletuksen. Journalointia ja access timeä ei kannata verkon | |||
yli liitettävässä tiedostojärjestelmässä käyttää tehokkuussyistä. Tämä ei | yli liitettävässä tiedostojärjestelmässä käyttää tehokkuussyistä. Tämä ei | ||
perustu mittaustuloksiin, joten tätä osiota kannattaa asiasta tietävien | perustu mittaustuloksiin, joten tätä osiota kannattaa asiasta tietävien | ||
täydentää. Siksi | täydentää. Siksi käytän tiedostojärjestelmänä ext2:ta noatime-asetuksella. | ||
Luodaan salattu tiedostojärjestelmä. Tässä vaiheessa kannattaa keksiä | Luodaan salattu tiedostojärjestelmä. Tässä vaiheessa kannattaa keksiä | ||
itselleen salasana. Salasanan keksimisessä auttaa komento <tt> | itselleen salasana. Salasanan keksimisessä auttaa komento <tt>pwgen</tt>. | ||
# luksformat -t ext2 /dev/nbd0 | |||
Tämän jälkeen saat salatun osion näkymään komennolla: | Tämän jälkeen saat salatun osion näkymään komennolla: | ||
# cryptsetup luksOpen /dev/nbd0 backup | |||
Tämä luo järjestelmääsi laitteen /dev/mapper/backup, jossa selkokielinen | Tämä luo järjestelmääsi laitteen /dev/mapper/backup, jossa selkokielinen | ||
Rivi 173: | Rivi 172: | ||
Oletetaan, että sinulla on tyhjä hakemisto /mnt/backup: | Oletetaan, että sinulla on tyhjä hakemisto /mnt/backup: | ||
# mount -o noatime /dev/mapper/backup /mnt/backup | |||
Voit kokeilla tiedostojen kirjoittamista levylle. | Voit kokeilla tiedostojen kirjoittamista levylle. | ||
Rivi 179: | Rivi 178: | ||
Lopuksi voit poistaa salatun osion näkyvistä järjestelmästäsi komentamalla: | Lopuksi voit poistaa salatun osion näkyvistä järjestelmästäsi komentamalla: | ||
# umount /mnt/backup | |||
# cryptsetup remove backup | |||
==Viimeistely== | ==Viimeistely== | ||
Lopuksi kannattaa nähdä hetki vaivaa asetusten tekemiseen, koska näin säästää | Lopuksi kannattaa nähdä hetki vaivaa asetusten tekemiseen, koska näin säästää | ||
aikaa tulevaisuudessa, kun ei tarvitse rutiinikäytössä muistella kaikkia | aikaa tulevaisuudessa, kun ei tarvitse rutiinikäytössä muistella kaikkia | ||
Rivi 188: | Rivi 188: | ||
Helpotetaan salatun osion liittämistä tekemällä pääkäyttäjälle ssh-config. | Helpotetaan salatun osion liittämistä tekemällä pääkäyttäjälle ssh-config. | ||
Lisää tiedoston | Lisää tiedoston ~root/.ssh/config perään: | ||
Host backup | |||
EscapeChar none | |||
BatchMode yes | |||
User netbackup | |||
HostName palvelin.fi | |||
IdentityFile polku_salaiseen_avaimeesi | |||
Port 22 | |||
Tämän jälkeen yhdistäminen pitäisi onnistua lyhyemmin komentamalla: | Tämän jälkeen yhdistäminen pitäisi onnistua lyhyemmin komentamalla: | ||
# nbd-client -cmd ssh backup ';' /dev/nbd0 | |||
==Lähteet== | ==Lähteet== | ||
https://help.ubuntu.com/community/EncryptedFilesystemOnIntrepid | https://help.ubuntu.com/community/EncryptedFilesystemOnIntrepid | ||