Zentrales sichern mehrerer Server

[joshi]

Servus Kollegen,

seit einiger Zeit vermehren sich die Linuxserver (Ubuntu 10.04 & 12.04, jeweils 64bit) bei mir in der Firma immer mehr. Für meine Windowsmaschinen verwende ich Backup Exec, für die Linuxwelt habe ich allerdings nichts vergleichbares. Ich würde das gern analog zu BE implementieren, sodass ich einen Backupserver habe, von dem aus die Config (im Besten Fall) auch gemacht wird. Gesichert soll dann z.b. 1x Full pro Monat, und die restichen Tage dann inkrementell oder differenziell. Das Fullbackup sollte allerdings, wenn möglich, ein komlett zerschossenes System restoren können (quasi wie ein Imagebckup).

Ich bin mir nicht ganz sicher, was ich dafür verwenden soll? Meine MySQL-Datenbanken sichere ich mit MSD.

Habt ihr da einen Tip für mich? Mir wäre eine feine GUI ganz recht, damit die Lernkurve recht flach bleibt. Mir scheint, als wären da Bacula oder Zmanda recht interessante Optionen? Es darf jedoch keine "Boote eine Live-CD...." Sache sein ,da die Server 24/7 laufen müssen, und alles zudem per Cron gestartet werden soll.

LG
Johannes

[Boity]

Stichwort : rsync

[joshi]

hab ich schon des öfteren gelesen, jedoch habe ich immer geglaubt, dass dies nur für files (z.b. /home oder /var/www) genügt? Für ein ordentliches Backup ist das doch zu wenig, oder?
Bitte um Korrektur, sollte ich mich täuschen....

[Colttt]

bacula?!

[joshi]

Bacula habe ich in meinem Initialpost schon gelistet - rein von dem, was ich lese, scheint das ganz gut zu passen. Allerdings wollte ich noch die eine oder andere Rückmeldung aus dem Forum diesbezüglich abwarten, da ich niemanden sonst kenne, der es sonst im Einsatz hat....

[uname]

Auf ein Imagebackup würde ich generell verzichten. Bacula kenne ich nicht. Falls Du wirklich mal "rsync" zum Vergleich probieren willst könntest du dir rsnapshot oder mein kleines RSYNC-Script anschauen:

http://wiki.ubuntuusers.de/Skripte/Backup_mit_RSYNC

Ich möchte es für große Implementierungen bestimmt nicht empfehlen. Aber um mal kurz anzutesten wie "rsync über ssh" mit inkrementellen Backups läuft ohne Unmengen an Sourcecode bzw. Parameter von rsnapshot zu lesen vielleicht gar nicht mal so schlecht. Das Shellscript sollte selbsterklärend sein

[minimike]

In meiner alten Firma hatten wir auch nur rsync und SSH. Das Webfrontend dafür hies BackupPC. Ist halt ein intelligenters rsync über SSH. 80 Server gingen damit ohne Probleme.

[uname]

Vielleicht sollte man sich erst überlegen ob der Backupserver einfach alle Server abzieht oder umgekehrt jeder Server beim Backupserver seine Daten sichert. Das ist nicht unerheblich und vor allem eine Sicherheitsfrage.

[minimike]

Genau

Aber es ist einfach billig. Im Vergleich dazu ist Bacula eine andere Liga

[joshi]

also rein von der architektur ist mir viel lieber, dass sich der backupserver zu den clients hin verbindet. somit hätte ich den vorteil, dass ich aus dem internen netz heraus auch meine server in der dmz sichern kann, ohne groß ports aufmachen zu müssen auf der firewall.... ich glaube, das lässt sich mit backuppc doch auch so realisieren, wenn ich mich nicht täusche, oder?

[slu]

Ich kann über BackupPC nicht klagen, mir persönlich ist es auch lieber das nur der BackupPC auf alle Server per SSH darf.
Bei mir werden alle Linux Desktops und Server per SSH + Rsync gesichert und die Windows Clients per SMB.

[meti]

Ich würde folgendes machen (so wie ich es bei meinen privaten Rechnern mache):

Initial ein Full-Backup in Form eines komprimierten Images.

Anschließend alle Backups (Full/Inkrementell und/oder Differentiell) mit Backuppc auf einen Backupserver.
Ich hab Backuppc früher immer mit tar over ssh laufen lassen. Mittlerweile hab ich auf rsync umgestellt. Beides läuft aber absolut problemlos und annähernd wartungsfrei.

Wichtig dabei ist nur dass die Festplatten des Backuppc Servers wirklich gut sind und regelmässig ausgetauscht werden (RAID1). Ansonsten kann im Fall der Fälle alles, aber auch wirklich alles, im Nirvana landen ...---...

[joshi]

gut, ihr habt mich überzeugt
bin grad am einrichten, aber das eine oder andere kleine problem habe ich noch.

um "loginloses" ssh zwischen den servern zu realisieren, muss ich ja mit ssh-keygen den key erzeugen und wechselseitig auf der jeweils anderen maschine in die ~/.ssh/authorized_keys einfügen.
allerdings bin ich mir da nicht sicher, ob das nun im ~ meines users sein muss, oder in /root ?
und wie regelt das backuppc mit dem erhöhen der rechte? er verbindet sich ja mit einem user, der sich dann ja mit su(do) root-rechte nehmen muss. ich hab noch nicht ganz verstanden, wie das
von statten geht?

Lg
Johannes

[uname]

~ meines users sein muss, oder in /root ?

Bei "root", da nur "root" alles lesen darf.

und wie regelt das backuppc mit dem erhöhen der rechte? er verbindet sich ja mit einem user, der sich dann ja mit su(do) root-rechte nehmen muss. ich hab noch nicht ganz verstanden, wie das von statten geht?

"backuppc" kenne ich nicht. Aber ich lasse natürlich "root" das Backup durchführen und auf dem Remote-System wird auch als "root" zugegriffen. Wenn man Angst hat kann man noch den Key auf einzelne Befehle einschränken (Parameter command=). Und su bzw. sudo kannst du gleich vergessen. Du redest von Administrationstätigkeiten, die IMMER als root ausgeführt werden müssen. su bzw. sudo ist nur Augenwischerei, auch wenn es einige Leute gerne anders sehen würden.

[joshi]

d.h. wenn ich nun ubuntumaschinen sichern muss, dann muss ich den root aktivieren?

[uname]

d.h. wenn ich nun ubuntumaschinen sichern muss, dann muss ich den root aktivieren?

Du solltest den root-SSH-Zugriff für genau deine Anwendung über SSH-Keys erlauben. Ich glaube die root-Sperre und vor allem die sudo-Verarsche bei Ubuntu gilt nur für Passwörter. In /etc/shadow sollte bei root irgendwo ein "!" im Passworteintrag stehen. Evtl. musst du SSH-Keys noch in /etc/ssh/sshd_config erlauben.

[gbotti]

Hi.

Bacula habe ich in meinem Initialpost schon gelistet - rein von dem, was ich lese, scheint das ganz gut zu passen. Allerdings wollte ich noch die eine oder andere Rückmeldung aus dem Forum diesbezüglich abwarten, da ich niemanden sonst kenne, der es sonst im Einsatz hat....

Ich verwende Bacula im Rechenzentrum für nun insgesamt 13 Windows-Systeme und 34 Linux-Systeme und kann nur sagen, dass das Spitze funktioniert. Die Einarbeitung in das Konzept von Bacula hat mich damals etwas Zeit gekostet, aber jetzt möchte ich es nicht mehr loswerden.

[joshi]

ok, ssh via keys funktioniert schonmal. jetzt gehts an die config.
ich melde mich wieder