[linux-l] Re: [linux-l] Brandschutzübung (Backup)

Jan-Benedict Glaw jbglaw at lug-owl.de
Fr Mai 30 00:19:01 CEST 2003 

On Thu, 2003-05-29 20:33:07 +0200, Steffen Dettmer <steffen at dett.de>
wrote in message <20030529203307.D3758 at dx.net.de>:
> * Jan-Benedict Glaw wrote on Thu, May 29, 2003 at 20:05 +0200:
> > Bacula guckt sich gerade ein Kollege von mir an; das scheint ganz nett
> > zu sein.
> 
> Kostenpunkt? URL?

Ist an Veritas angelehnt, GPL und die URL kannst Du Dir ergoogeln:)

> > ...und dennoch - ich persönlich mag tar und ssh mit RSA keys. Das kann
> > man ganz bequem in'ne crontab eintragen und Ruhe ist. 
> 
> Wie genau machste denn das? Haben die Clienten einen Key, mit dem
> die .tars auf einem Backupserver pushen? Oder pollen mit

Keys ohne password für einen Backup-User auf einem System mit
Bandlaufwerk oder tape library.

> root-access-key? Wie verwaltest Du, welcher Server was sichern
> soll? Ich hab da zwei Dinge, die ich beide nicht optimal finde.

Jeder weiß lokal, was er sichern möchte.

> Einmal über root-Key (über agent, also nix cron) Kram einsammelt.
> Seh ich Fehler besser, na ja. Die andere hat backup-Key und
> sammelt für "backup" lesbares ein, per cron gibt's auch ne
> Keydisk (muß man dann nur kurz einlegen). Gibt einen Haufen
> scripte, weil jeder Server eigene Eigenheiten hat. Denke, pushen
> wäre der günstigere Ansatz. Bloß wie merkt man, ob alles geklappt

ACK.

> hat? Hab schon überlegt, noch das logfile vom job mit zu pushen
> und dann zu gucken, ob die alle weniger alt als 24 stunden sind.
> mmm... Haste da was zum sharen :)? Machste da was inkrementell?
> Wie?

Das ist nicht weiter aufwändig. Zuerst machst Du Dir auf dem
Backup-Server einen user, der auf das Bandlaufwerk zugreifen darf.

Dann erzeugst Du Dir (pro Client-Rechner) einen RSA-Key (ssh-keygen).
Dann machst Du, daß Du Dich nun als Backup-user auf dem Backup-Server
einloggen kannst, und zwar, ohne ein Password einzutippen (-> key muß
ohne Password sein).

Der letzte Teil ist ein (auf dem Client ablaufendes) Script, daß:

	- Auf dem Server das Laufwerk lockt (einfach eine Datei
	  anlegen).
	- Ein tar-Kommando lostritt
	- Das nächste Band einlegt
	- Das Laufwerk freigibt.

Einzig, Du brauchst vorn' im Script eine Variable, in der die zu
sichernden Pfase d'rinstehen. Etwas komplexer wird's, wenn Du
LVM-Snapshots benutzen möchtest, aber das ist immernoch in < 100 Zeilen
inkl. Fehlerbehandlung zu machen:)

> > Nutzt man zudem noch LVM, so kann man sogar dafür sorgen, daß man nicht
> > wackelige Backups aus einem lebenden System zieht.
> 
> Jo, fetzt bei Datenbanken und ggf. bei Repositories... Hab auf
> keinem Fileserver LVM, Mist, sind alle zu alt.

Pech:) Also Komplett-Backup von Hand, Maschine neuinstallieren und die
Nutzdaten zurückkopieren!

> > die ihre Daten in Dateien statt Partitionen parken)
> 
> Partitionen mit dd geht auch nur, wenn DB nicht läuft. Na,

Genau. Also schnell mal mit LVM d'ran:)

> meistens gibt's ja ein Datenbanktool dafür, nehm ich auch immer,
> als SQL export, sieht man, was los ist. Bei PostgreSQL
> funktioniert manchmal ein Detail nicht.

Größtes Problem ist dabei meist folgende Situation:

	- User XYZ legt eine Tabelle/Datenbank an und pumpt Daten 'rein.
	- User XYZ wird verboten, neue Datenbanken/Tabellen anzulegen.
	- Backup
	- Restore: Tabellen/Datenbanken können nicht angelegt werden,
	  weil der User ja nicht das Recht dazu hat.
	- Fußschuß.

> > > Noch eine Kuriosität am Rande:
> > > der Befehl "cp -rv /mnt/cdrom/.* /home/user"
> 
> achso: rsync nehmen. Auch lokal. Und keine Wildcards.

Wildcards sind schon okay, nur muß man sie passend formulieren:)

MfG, JBG

-- 
   Jan-Benedict Glaw       jbglaw at lug-owl.de    . +49-172-7608481
   "Eine Freie Meinung in  einem Freien Kopf    | Gegen Zensur | Gegen Krieg
    fuer einen Freien Staat voll Freier Bürger" | im Internet! |   im Irak!
      ret = do_actions((curr | FREE_SPEECH) & ~(IRAQ_WAR_2 | DRM | TCPA));
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: nicht verfügbar
URL         : <https://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/attachments/20030530/f7a4ed7a/attachment.sig>

Mehr Informationen über die Mailingliste linux-l