Verschlüsselte Backups mit duply und duplicity
Wer schon auf der Suche nach einer Lösung für verschlüsselte Datenbackups unter Unix und Linux war, wird bestimmt schon über duplicity gestolpert sein. Duplicity erlaubt es verschlüsselte inkrementelle Backups mit Hilfe unterschiedlicher Backends (ftp, ssh/scp, rsync etc.) remote oder lokal zu sichern. Dabei wird mit Hilfe der librsync ein effizientes Handling der inkrementellen Backups garantiert und die Verschlüsselung der Daten und Schutz vor fremden Zugriff erfolgt mit Hilfe von GnuPG.
Mit duply gibt es neuerdings ein Shell-Frontend, welches die Nutzung von duplicity von der Kommandozeile aus deutlich vereinfacht.
Unter FreeBSD lassen sich die beiden Tools am einfachsten über den Port sysutils/duply installieren, unter Linux gibt es entsprechende Pakete für Debian und Ubuntu.
cd /usr/ports/sysutils/duply && make install clean
Dokumentation für duply:
duply usage
Erstellen eines neuen Backupprofils mit dem Namen demo:
duply demo create
Bearbeiten der Konfiguration unter /home/jdoe/.duply/demo/conf und folgende minimale Anpassungen zur Erstellung eines verschlüsselten Backups mit symmetrischer Verschlüsselung:
#GPG_KEY=’not-used‘
GPG_PW=’yoursecret‘TARGET=’ssh://your.backup.host.exmple.com/Backup/‘
SOURCE=’/home/jdoe/data‘
VERBOSITY=0
Ein entsprechender Eintrag in .ssh/authorized_keys ist für die Durchführung des Backups ohne Passwortaufforderung natürlich erforderlich.
Durchführung des Backups:
duply demo backup
Wer VERBOSITY in der Konfiguration nicht auf 0 gesetzt hat, kann die Meldung Failed to authenticate ignorieren. Sie stammt von duplicity und tritt bei der Verwendung von ssh auf, deutet aber auf keinen problematischen Fehler hin.
Der Parameter backup führt gemäß der Konfiguration bei Bedarf automatisch eine volle bzw. inkrementelle Sicherung durch.
Detaillierte Auflistung des Backup-Inhalts am Remote-Server:
duply demo list
Erzwingen eines Full-Backups:
duply demo full
Auflisten der am Remote-Server liegenden Backup-Sets:
duply demo status
Auflisten der seit der letzten Sicherung geänderten Dateien:
duply demo verify
Rücksichern einer Datei aus dem Backup ins aktuelle Verzeichnis;
duply demo fetch dir1/example.doc .
Komplette Rücksicherung ins Verzeichnis dir1:
duply demo restore dir1
Aufruf von duply über cron
duply demo backup_verify_purge
10 Unterschiede zwischen Linux und BSD
Ein Artikel aus dem 10things Blog auf TechRepublic beleuchtet in 10 Punkten die wichtigsten und essentiellsten Unterschiede zwischen Linux und BSD. Wobei mit BSD alle wichtigen Vertreter wie FreeBSD, NetBSD und OpenBSD gleichermaßen abgedeckt sind und unter Linux alle bekannten Distributionen:
WordPress im Vergleich sicher
Eine Studie, welche auf der Black Hat Sicherheitskonferenz in Las Vegas präsentiert wurde, zeigt, dass WordPress im Vergleich zu anderen Open Source CMS Produkten sicherer ist. Von einer Million Websites, welche automatisch auf Sicherheitslücken untersucht wurden, enthielten 100% aller Websites mit phpBB kritische Sicherheitslücken, 95% mit MediaWiki, Joomla 92%, Movable Type 91%, Drupal 70%. Von Seiten mit WordPress enthielten nur 4% aller Websites kritische Sicherheitslücken.
https://community.qualys.com/docs/DOC-1401
http://blog.wordpress-deutschland.org/2010/08/03/wordpress-vergleichsweise-sicher.html
NiX Spam DNSBL als gute Alternative für UCEProtect Level 1
Die UCEProtect Level 1 DNS Blacklist hat sich in den letzten Jahren auf unseren Systemen durchaus als effektive Maßnahme gegen Spam und andere Formen nicht erwünschter E-Mails bewährt. Doch leider gab und gibt es auch regelmäßig Probleme mit der Listung von großen Providern auf UCEProtect, was zur Abweisung von legitimen E-Mails führt. Dies hat mitunter auch mit der häufig diskutierten Delisting Policy von UCEProtect zu tun. Auch der Einsatz von Whitelisting mit DNSWL hat keine deutlichen Verbesserungen gebracht. Die genannten Probleme und die damit verbundenen negativen Feedbacks unseren Kunden haben dazu geführt, dass wir uns nach einer Alternative umsehen mussten.
Diese Alternative scheinen wir nun mit der NiX Spam DNSBL gefunden zu haben. Die bisherigen Auswertungen der Logfiles unsere Mailserver haben gezeigt, dass der Spamschutz zumindest gleich gut ist, wie bisher mit UCEProtect Level 1. Gleichzeitig ist die Anzahl der False Postives um ein vielfaches geringer, da IP-Adressen in der NiX Spam DNSBL automatisch nach 12 Stunden wieder entfernt werden.
Info zu NiX Spam: www.nixspam.org
Info zur NiX Spam DNSBL: www.dnsbl.manitu.net
VirtualBox 3.2 unter FreeBSD
Während unter Linux zwischenzeitlich einige gute Lösungen (KVM, OpenVZ, VMWare Server, VMWare Workstation, VirtualBox und Xen), sowohl aus dem kommerziellen als auch Open Source Umfeld, zum Thema Virtualisierung zur Verfügung stehen, so sah es zumindest bis vor einem Jahr unter FreeBSD eher mager aus. Zwar steht unter FreeBSD mit den Jails seit einigen Jahren eine absolut ausgereifte, hochperformante und leicht gewichtige OS-Level Virtualisierung zur Verfügung (vergleiche auch OpenVZ), doch für den Bereich der Virtualisierung fremder Betriebsysteme konnte man nur auf Lösungen wie QEMU oder Bochs zurückgreifen.
Zwischenzeitlich hat sich das Bild etwas geändert. Genau vor einem Jahr wurde die Open Source Edition von VirtualBox, kurz VirtualBox OSE genannt, nach einer entsprechenden Kraftanstrengung einzelner Entwickler aus dem VirtualBox Projekt und einer Gruppe von FreeBSD Ports Committern in die FreeBSD Ports Collection aufgenommen. Damit hat eine flexible Virtualisierungslösung unter FreeBSD Einzug gehalten.
VirtualBox bietet nicht nur eine auf QT4 basierende grafische Oberfläche, welche eine durchaus mit VMWare Workstation vergleichbare Integration der Gast-Betriebsysteme in die Desktopoberflächen wie Gnome oder KDE ermöglicht, sondern auch umfangreiche, auf den ersten Blick verborgene, Kommandozeilentools, welche die Konfiguration, Steuerung und den Betrieb der Gast-Betriebsysteme auch ohne grafische Oberfläche erlaubt.
Der Schlüssel hierzu sind unter anderem die beiden Kommandos VBoxManage und VBoxHeadless. Bis zur Version 3.1 der VirtualBox OSE, war das ganze mit einem ordentlichen Wermutstropfen versehen, der Remote-Zugriff auf die virtuelle Konsole des Gast-Betriebsystems mittels RDP, wie in der kommerziellen Version von VirtualBox, war nicht möglich. Das erschwert natürlich in manchen Situationen den Umgang mit einem Headless-System. Doch seit Version 3.2, besteht nun in VirtualBox OSE die Möglichkeit mittels VNC auf die virtuelle Konsole zuzugreifen, was nun den Einsatz von VirtualBox z.B. auf einen Server ohne grafische Unterstützung mit X11 nun problemlos ermöglicht.