Security

Verschlüsselte Backups mit duply und duplicity

Wer schon auf der Suche nach einer Lösung für verschlüsselte Datenbackups unter Unix und Linux war, wird bestimmt schon über duplicity gestolpert sein. Duplicity erlaubt es verschlüsselte inkrementelle Backups mit Hilfe unterschiedlicher Backends (ftp, ssh/scp, rsync etc.) remote oder lokal zu sichern. Dabei wird mit Hilfe der librsync ein effizientes Handling der inkrementellen Backups garantiert und die Verschlüsselung der Daten und Schutz vor fremden Zugriff erfolgt mit Hilfe von GnuPG.

Mit duply gibt es neuerdings ein Shell-Frontend, welches die Nutzung von duplicity von der Kommandozeile aus deutlich vereinfacht.


Unter FreeBSD lassen sich die beiden Tools am einfachsten über den Port sysutils/duply installieren, unter Linux gibt es entsprechende Pakete für Debian und Ubuntu.

cd /usr/ports/sysutils/duply && make install clean


Dokumentation für duply:

duply usage


Erstellen eines neuen Backupprofils mit dem Namen demo:

duply demo create


Bearbeiten der Konfiguration unter /home/jdoe/.duply/demo/conf und folgende minimale Anpassungen zur Erstellung eines verschlüsselten Backups mit symmetrischer Verschlüsselung:

#GPG_KEY=’not-used‘
GPG_PW=’yoursecret‘

TARGET=’ssh://your.backup.host.exmple.com/Backup/‘

SOURCE=’/home/jdoe/data‘

VERBOSITY=0

Ein entsprechender Eintrag in .ssh/authorized_keys ist für die Durchführung des Backups ohne Passwortaufforderung natürlich erforderlich.


Durchführung des Backups:

duply demo backup

Wer VERBOSITY in der Konfiguration nicht auf 0 gesetzt hat, kann die Meldung Failed to authenticate ignorieren. Sie stammt von duplicity und tritt bei der Verwendung von ssh auf, deutet aber auf keinen problematischen Fehler hin.

Der Parameter backup führt gemäß der Konfiguration bei Bedarf automatisch eine volle bzw. inkrementelle Sicherung durch.


Detaillierte Auflistung des Backup-Inhalts am Remote-Server:

duply demo list


Erzwingen eines Full-Backups:

duply demo full


Auflisten der am Remote-Server liegenden Backup-Sets:

duply demo status


Auflisten der seit der letzten Sicherung geänderten Dateien:

duply demo verify


Rücksichern einer Datei aus dem Backup  ins aktuelle Verzeichnis;

duply demo fetch dir1/example.doc .


Komplette Rücksicherung ins Verzeichnis dir1:

duply demo restore dir1


Aufruf von duply über cron

duply demo backup_verify_purge

FreeBSD Security Updates mit portaudit & portmaster

Wie im administrativen und produktiven Alltag die Vorgangsweise bei Security Updates von Zusatzsoftware unter FreeBSD aussehen kann, soll Ihnen ein kurzes Beispiel im folgenden Screencast näher bringen.

Insbesondere wird dabei die Verwendung von portsnap(8) und der beiden kleinen Tools portaudit(1) und portmaster(8) aus den FreeBSD Ports demonstriert.

http://www.youtube.com/watch?v=P2uMeEZYOZ8

WordPress im Vergleich sicher

Eine Studie, welche auf der Black Hat Sicherheitskonferenz in Las Vegas präsentiert wurde, zeigt, dass WordPress im Vergleich zu anderen Open Source CMS Produkten sicherer ist. Von einer Million Websites, welche automatisch auf Sicherheitslücken untersucht wurden, enthielten 100% aller Websites mit phpBB kritische Sicherheitslücken, 95% mit MediaWiki, Joomla 92%, Movable Type 91%, Drupal 70%. Von Seiten mit WordPress enthielten nur 4% aller Websites kritische Sicherheitslücken.

https://community.qualys.com/docs/DOC-1401

http://blog.wordpress-deutschland.org/2010/08/03/wordpress-vergleichsweise-sicher.html

NiX Spam DNSBL als gute Alternative für UCEProtect Level 1

Die UCEProtect Level 1 DNS Blacklist hat sich in den letzten Jahren auf unseren Systemen durchaus als effektive Maßnahme gegen Spam und andere Formen nicht erwünschter E-Mails bewährt. Doch leider gab und gibt es auch regelmäßig Probleme mit der Listung von großen Providern auf UCEProtect, was zur Abweisung von legitimen E-Mails führt. Dies hat mitunter auch mit der häufig diskutierten Delisting Policy von UCEProtect zu tun. Auch der Einsatz von Whitelisting mit DNSWL hat keine deutlichen Verbesserungen gebracht. Die genannten Probleme und die damit verbundenen negativen Feedbacks unseren Kunden haben dazu geführt, dass wir uns nach einer Alternative umsehen mussten.

Diese Alternative scheinen wir nun mit der NiX Spam DNSBL gefunden zu haben. Die bisherigen Auswertungen der Logfiles unsere Mailserver haben gezeigt, dass der Spamschutz zumindest gleich gut ist, wie bisher mit UCEProtect Level 1. Gleichzeitig ist die Anzahl der False Postives um ein vielfaches geringer, da IP-Adressen in der NiX Spam DNSBL automatisch nach 12 Stunden wieder entfernt werden.

Info zu NiX Spam: www.nixspam.org
Info zur NiX Spam DNSBL: www.dnsbl.manitu.net

Linux Kernel Updates ohne Neustart mit Ksplice

Eine interessante Technologie mit dem Namen Ksplice erlaubt das Update des Linux Kernels, z.B. das notwendige Schließen von Sicherheitslücken, im laufenden Betrieb und ohne Neustart. Das erspart nun auch geplante Ausfälle, was diese Lösung insbesondere im 24×7 Betrieb äußerst interessant macht. Derzeit ist der Einsatz von Ksplice für Ubuntu Desktop kostenlos. Für Linux Server Editionen von RedHat, CentOS, Debian und Ubuntu LTS belaufen sich die Kosten um US$ 3,95 pro System.

http://www.ksplice.com/