Bareos mit LTO5-Hardware-Encryption

[DynaBlaster]

Moin,

ggf. hat sich hier ja auch schon damit rumgeschlagen. Bareos und das Schreiben auf den LTO5-Streamer funktionieren. Jetzt sollen die Bänder mittels LTO5-HW-Verschlüsselung mit einer Passphrase abgesichert werden. Dazu bin ich ich nach der offiziellen Bareos-Doku vorgegangen. siehe hier: http://doc.bareos.org/master/html/bareo ... 400026.2.2

Jetzt habe ich aber das Problem, das nach der Aktivierung der Verschlüsselung/Passphrase für den Streamer, systemd/init.d den Start des Storage-Daemon verweigert.

Code: Alles auswählen

Device {
  Name = streamer
  Archive Device = /dev/st0
  Device Type = Tape
  Media Type = LTO-5
  LabelMedia = yes;                   # lets Bareos label unlabeled media
  Random Access = No;
  AutomaticMount = yes;               # when device opened, read it
  RemovableMedia = yes;
  Drive Crypto Enabled = yes;	# Aktivierung Crypto und Passphrase A
  Query Crypto Status = yes;      # Aktivierung Crypto und Passphrase B
  AlwaysOpen = no;
  Description = "Streamer Device directly attached to bamboo/bareos server"
}

Ohne den Eintrag "Capabilities=cap_sys_rawio+ep" in der systemd-service-Datei /etc/systemd/system/bareos-sd.service wie in der Doku beschrieben geht auch gar nix, mit dem Einttrag erhalte ich aber diese Fehermeldung bei Start des Daemons

Code: Alles auswählen

root@backup:~# service bareos-storage restart
root@backup:~# jornaulctl -xe
[....]
bareos-storage.service: Failed at step SECUREBITS spawning /usr/sbin/bareos-sd: Operation not permitted
[...]
# manuelle capabiliites sind gesetzt
root@backup:~# getcap /usr/sbin/bscrypto
/usr/sbin/bscrypto = cap_sys_rawio+ep
root@backup:~# getcap /usr/sbin/bareos-sd
/usr/sbin/bareos-sd = cap_sys_rawio+ep

Hab schon nach Securebits gegooglet finde aber nix wirklich hilfreiches. Denke auch nicht, das das an Bareos selbst liegt, sondern irgendein Rechteprpblem der Systemd-Unit ist.