Un blog mas

Bitácora de vuelo

>Existen varios chequeos que se pueden realizar vía snmp con Nagios (check_snmp), a continuación describo los dos que por ahora estoy usando:

Chequeo remoto de espacio en disco:
Si tenemos la configuración básica implementada del snmpd en el servidor remoto, lo que resta es modificar una línea donde indicaremos el path a verificar y a partir de cuanto espacio libre envía un mensaje de error.

en el archivo /etc/snmp/snmpd.conf hay que agregar la siguiente línea:

disk / 5%

que indica el path (/) y el porcentaje de espacio mínimo libre.

Hay que reiniciar el servici:

pablo@server1:/# /etc/init.d/snmpd restart

Esto se puede verificar mediante el comando snmpwalk de la siguiente manera:

pablo@client1:/# snmpwalk -v 1 -c public ip_server_remoto .1.3.6.1.4.1.2021 | grep dskErrorFlag

UCD-SNMP-MIB::dskErrorFlag.1 = INTEGER: noError(0)

el cual tendría un 1 como salida si el espacio libre es menor al 5%

Para probar el plugin del nagios se puede ejecutar directamente desde la línea de comandos:

root@nagios:/# /usr/lib/nagios/plugins/check_snmp -H server1 -C public -o .1.3.6.1.4.1.2021.9.1.7.1,.1.3.6.1.4.1.2021.9.1.9.1 -w 80:,:80 -c 90:,:90 -u ‘kB free (‘,’% used)’ -l ‘disk space’
disk space OK – 35602364 kB free ( 6 % used) | iso.3.6.1.4.1.2021.9.1.7.1=35602364 iso.3.6.1.4.1.2021.9.1.9.1=6

Para agregarlo a la configuración definitiva, obviamente editamos el .cfg de la máquina a monitorear y agregamos el servicio con los paramentros: Arg1=comunidad
Arg2=disco
Arg3=valorWarning
Arg4=valorWarning
Arg5=valorCritical
Arg6=valorCritical

define service{
use generic-service
host_name server1
service_description Disco1
check_command snmp_disk!public!1!70!70!80!80
notification_period 24×7
}

El próximo valor que chequearemos remotamente es la carga de CPU:

define service{
use generic-service
host_name server1
service_description CPU
check_command snmp_load!public!80!90
notification_period 24×7
}

No olvidemos repasar como configurar el snmpd en los equipos a monitorear

http://pablosarubbi.blogspot.com/2008/12/configuracion-de-snmpd-en-ubuntu.html

Suerte!

>Primeramente debemos conocer el uuid de la máquina a la cuál le queremos modificar el orden de arranque. Esto se puede verificar con el comando xe vm-list

[root@xenServer /]# xe vm-list
uuid ( RO) : 1f84380f-d6a0-0657-02b6-2474b679efcd
name-label ( RW): vmXen01
power-state ( RO): running

uuid ( RO) : 791832b0-c621-b210-b986-a453ae8054e9
name-label ( RW): vmXen02
power-state ( RO): running

El parámetro que queremos modificar es «HVM-boot-policy» al cuál lo setearemos con «BIOS order». Con el comando siguiente verificamos la condición actual es:

[root@xenServer /]# xe vm-param-list uuid=791832b0-c621-b210-b986-a453ae8054e9

uuid ( RO) : 791832b0-c621-b210-b986-a453ae8054e9
name-label ( RW): vmXen02
name-description ( RW): Servidor Genérico 03
user-version ( RW): 1
.
.
.
HVM-boot-policy ( RW):
HVM-boot-params (MRW): order: dc
.
.
.

Ahora si definimos ese valor para dicha clave:

[root@xenServer /]# xe vm-param-set HVM-boot-policy=»BIOS order» uuid=791832b0-c621-b210-b986-a453ae8054e9

Y verificamos el resultado:

[root@xenServer /]# xe vm-param-list uuid=791832b0-c621-b210-b986-a453ae8054e9

uuid ( RO) : 791832b0-c621-b210-b986-a453ae8054e9
name-label ( RW): vmXen02
name-description ( RW): Servidor Genérico 03
user-version ( RW): 1
.
.
.
HVM-boot-policy ( RW): BIOS order
HVM-boot-params (MRW): order: dc
.
.
.

Listo, con eso se altera el orden de buteo de nuestra máquina virtual Xen.

>

Nagios2 es una aplicación open source que verifica el estado de los hosts y servicios especificados, y posee la capacidad de alertar (ya sea en forma gráfica, sonora, mediante mails al adminsitrador, sms, o incluso un sistema de desarrollo propio) cuando el comportamiento no sea el adecuado y cuando el mismo retorne a su estado normal.







Instalación
El método de instalación que se utilizó en este caso fué mediante el comando apt-get (disponible en las versiones de Linux derivadas de Debian), que nos brinda la versión 2.9-1 la cual hemos testeado, analizado, modificado y usado desde hace más de un año. Desde el sitio oficial, http://www.nagios.org, se encuentran disponibles los fuentes de la versión estable 3.0, a partir de mediados de marzo de este año, para c
ompilar1. Al igual que el resto de las aplicaciones, los archivos de configuración de nagios se encuentran disponibles en /etc/nagios2, donde como primera instancia se puede verificar la configuración del servidor web (Apache 2.x), dentro del archivo /etc/nagios2/apache2.conf. Para ejecutar el cliente se abre desde un explorador web la dirección http://localhost/nagios2 . Dicha url está protegida por el servidor web. Para crear el usuario con permisos se emplea el comando htpasswd de la siguiente manera:

root@pablo-laptop:/etc/nagios2# htpasswd -c /etc/nagios2/htpasswd.users nagiosadmin
New password: XXXXXXXX

Re-type new password: XXXXXXXX

Adding password for user nagiosadmin
root@pablo-laptop:/

Durante la instalación se crearon algunos directorios donde se ubican los principales componentes del nagios2:

  • /etc/nagios2: Archivos de configuración de la aplicación.
  • /var/log/nagios2: Logs de la aplicación.
  • /usr/sbin/nagios2: Binarios de la aplicación.
  • /etc/nagios-plugins/config: Archivos que definen los plugins de nagios2.
  • /usr/lib/nagios/plugins: Comandos que son utilizados por los plugins de nagios2.


Configuración
Los archivos de configuración del monitoreo en sí se enuentran en el directorio /etc/nagios2/conf.d/ y es allí donde se establecen los parámetros de qué hosts y servicios se verificarán, en qué período de tiempo, a quién dar aviso y de qué manera.

Los principales objetos que maneja nagios2 se enumeran a continuación:

host: Unidades físicas como servidores, routers y firewalls.
# Generic host definition template
define host{
name generic-host ; The name of this host

template – referenced in other host definitions, used for template recursion/res
olution
notifications_enabled 1 ; Host notifications are enabled
event_handler_enabled 1 ; Host event handler is enabled
flap_detection_enabled 1 ; Flap detection is enabled
process_perf_data 1 ; Process performance data
retain_status_information 1 ; Retain status information acro
ss program restarts
retain_nonstatus_information 1 ; Retain non-status information
across program restarts
register 0 ; DONT REGISTER THIS DEFINITION
– ITS NOT A REAL HOST, JUST A TEMPLATE!
}

define host{
use generic-host
host_name windows2003
alias NT 2003 Server

address 192.168.0.10
check_command check-host-alive
contact_groups nt-admins
max_check_attempts 10
notification_interval 480
notification_period 24×7
notification_options d,u,r
}

hostgroup: Colecciones de hosts que generalmente tienen alguna característica en común como por ejemplo la ubicación.
define hostgroup{
hostgroup_name winservers
alias Windows Servers
members windows2003,windows2000
}

service: Servicios que corren en los hosts que pueden incluir tanto servicios en sí como SMTP o HTTP, o metricas como espacio en disco o uso de memoria.
define service{
host_name paginac,paginag
service_description PING
is_volatile 0
check_period 24×7
max_check_attempts 4
normal_check_interval 5
retry_check_interval 1
contact_groups web-admins

notification_interval 240
notification_period 24×7
notification_options c,r
check_command check_ping!1050.0,30%!1550.0,60%
}

servicegroup: Al igual que los grupos de host, son colecciones de servicios que poseen alguna característica en común.
define servicegroup{
servicegroup_name pingservices
alias Ping Services
members paginac,Ping Service,paginag,Ping Service,switch,Ping Service
}

contact: Personas u objetos que pueden ser contactados durante un determinado evento.
define contact{
contact_name pablo
alias Nagios Super Admin
contactgroups nt-admins ;podemos agregar desde aquí los grupos
service_notification_period 24×7
host_notification_period 24×7
service_notification_options w,u,c,r
host_notification_options d,u,r
service_notification_commands notify-by-email
host_notification_commands host-notify-by-email
email pablo@saru.com.ar
}

contactgroup: Colección de contactos que poseen determinada característica en común, como por ejemplo la consultora responsable del host o servic io que se verifica.
# ‘network-admins’ contact group definition
define contactgroup{
contactgroup_name network-admins
alias Network Administrators
members pablo
}

timeperiod: Definición de una ventana de tiempo, por ejemplo el tiempo de trabajo en horas (7×24, 8horas, lun-vie, etc.).
define timeperiod{
timeperiod_name workhours
alias Standard Work Hours
monday 09:00-17:00
tuesday 09:00-17:00
wednesday 09:00-17:00
thursday 09:00-17:00
friday 09:00-17:00
}

command: Comando que puede ser usado durante el proceso de chequeo, como por ejemplo el comando ping utilizado para verificar es estatus de un host.
hostextinfo: Presenta información extendida que se mostrará en el cliente como decripción detallada de un host.
define hostextinfo{
hostgroup_name debian-servers
notes Debian GNU/Linux servers
notes_url http://webserver.localhost.localdomain/hostinfo.pl?host=netware1
icon_image base/debian.png
icon_image_alt Debian GNU/Linux
vrml_image debian.png
statusmap_image base/debian.gd2
}

serviceextinfo: Presenta información extendida que se mostrará en el cliente como decripción detallada de un servicio.

Durante la instalación por defecto se crean archivos de configuración genéricos que luego se pueden ir incrementando y detallando a medida que se recolecta información de la red, pero lo que realmente hace poderoso este sistema es la colección de pluggins que lo componen.

Plugins
En este apartado se definen y ejemplifican los plugins más utilizados, pero para ello es necesario marcar la diferencia entre plugins de nagios2 y comandos. Los plugins de nagios se definen en /etc/nagios-plugins/config y son archivos similares a los que se describieron en el apartado 2.2.4.2 de Configuración, donde mantienen una estructura determinada con un nombre que los define y una línea de comando que se ejecuta. El listado original es el siguiente, agrupados por la definición de comandos :

root@pablo-laptop:/etc/nagios-plugins/config# ls
apt.cfg disk.cfg dummy.cfg ftp.cfg http.cfg load.cfg mysql.cfg nt.cfg ping.cfg real.cfg ssh.cfg users.cfg

breeze.cfg disk-smb.cfg flex
lm.cfg games.cfg ifstatus.cfg mail.cfg netware.cfg ntp.cfg procs.cfg rpc-nfs.cfg tcp_udp.cfg vsz.cfg
dhcp.cfg dns.cfg fping.cfg hppjd.cfg ldap.cfg mrtg.cfg news.cfg pgsql.cfg radius.cfg snmp.cfg telnet.cfg
root@pablo-laptop:/etc/nagios-plugins/config#

Y como ejemplo se muestra un resúmen del archivo /etc/nagios-plugins/config/ping.cfg que contiene la descripción de los plugins que verifican disponibilidad mediante este comando.

root@pablo-laptop:# cat /etc/nagios -plugins/config/ping.cfg
# ‘check_ping’ command definition
define command{

command_name check_ping
command_line /usr/lib/nagios/plugins/check_ping -H $HOSTADDRESS$ -w $ARG1$ -c $ARG2$
}

# ‘check-host-alive’ command definition
define command{
command_name check-host-alive
command_line /usr/lib/nagios/plugins/check_ping -H $HOSTADDRESS$ -w 5000,100% -c 5000,100% -p 1
}

# ‘check-printer-alive’ command definition
define command{
command_name check-printer-alive
command_line /usr/lib/nagios/plugins/check_ping -H $HOSTADDRESS$ -w 5000,100% -c 5000,100% -p 1
}

# ‘check-switch-alive’ command definition
define command{
command_name check-switch-alive
command_line /usr/lib/nagios/plugi
ns/check_ping $HOSTADDRESS$ -w 5000,100% -c 5000,100% -p 1
}

# ‘check-router-alive’ command definition
define command{
command_name check-router-alive
command_line /usr/lib/nagios/plugins/check_ping -H $HOSTADDRESS$ -w 5000,100% -c 5000,100% -p 1
}

root@pablo-laptop:#

Como se mencionó anteriormente, estos plugins utilizan los comandos que se encuentran en el directorio /usr/lib/nagios/plugins y se enumeran a continuación:

root@pablo-laptop:# ls /usr/lib/nagios/plugins
check_apt check_disk check_ftp check_imap check_mailq check_nntps check_ping check_simap check_tcp urlize
check_bgpstate check_disk_smb check_game check_ircd check_mrtg check_nt check_pop check_smtp check_time utils.pm

check_b
reeze check_dns check_hpjd check_jabber check_mrtgtraf check_ntp check_procs check_snmp check_udp utils.sh
check_by_ssh check_dummy check_http check_ldap check_mysql check_nwstat check_radius check_spop check_ups
check_clamd check_file_age check_icmp check_ldaps check_mysql_query check_oracle check_real check_ssh check_users
check_dhcp check_flexlm check_ifoperstatus check_load check_nagios check_overcr check_rpc check_ssmtp check_wave
check_dig check_fping check_ifstatus check_log check_nntp check_pgsql check_sensors check_swap negate
root@pablo-laptop:#


Los mismos pueden ser ejecutados directamente desde la línea de comandos para su prueba inicial y posterior implementacion en un nuevo plugin.

root@pablo-laptop:# /usr/lib/nagios/plugin/check_ping
check_ping: Could not parse arguments
Usage:check_ping -H -w ,% -c ,%
[-p packets] [-t timeout] [-4|-6]
root@pablo-laptop:#

Ejecución:
Para un ambiente de producción, es recomend
able tener instalado, configurado y en ejecución constante, el nagios desde un host dedicado que se encuentre ubicado cercano a la posición del administrador de red, así ante algún evento, este lo identifica al instante mediante la comunicación en pantalla y los avisos sonoros.
Es una buena práctica armar un mapa de red con la arquitectura propia donde se ubican los hosts en el mismo orden que se encuentran físicamente para una mejor interpretación del estado del mismo.

Conclusión
Una de las principales necesidades para reaccionar en forma rápida y así contrarestar a tiempo posibles ataques es estar informado sobre la situación actual del sistema en su conjunto, es por eso que durante este capítulo se intentaron plantear diferentes herramientas que se encuentran disponibles para verificación de estados y monitoreo de hosts y servicios, de diferentes vistas y altamente configurables.

>SNMP o Simple Network Management Protocol, es un protoclo de capa aplicacion que facilita el intercambio de información de administración entre dispositivos de red.

El mismo se puede definir como un protocolo que a manera de servicio nos permite recuperar informacion remota acerca de los componentes conectados a la red tales como computadoras, servidores, impresoras, routers, etc.

Para tener en cuenta…

Se puede definir el funcionamiento de SNMP a manera de un modelo cliente servidor, ya que para que funcione necesitamos dos aplicaciones basicas snmpd y snmp, en las cuales se puede definir la primera como el servidor y la otra como el cliente.

Aunque podamos relacionar el funcionamiento de esta manera cabe destacar que ambas aplicaciones deben estar instaladas en los equipos que componen la red, es decir tanto en el servidor u equipo de donde voy a monitorear los componentes de la red como tambien dichos componentes.

Instalación

Para lograr que SNMP se ejecute de manera adecuada en nuestra red tenemos que instalar snmp y snmpd, abriendo una consola y escribiendo :

root@server1:# sudo apt-get install snmp snmpd

Configuracion

Una vez instalado, procederemos a configurar snmpd.

root@server1:# cd /etc/snmp/
root@server1:# mv snmpd.conf snmpd-backup.conf
root@server1:# echo «» > snmpd.conf

Lo que haremos es trabajar con una copia vacia del archivo de configuracion snmpd.conf.

root@server1:# mcedit snmpd.conf

Luego lo editamos y escribimos:

# Listas de control de acceso (ACL)
## sec.name source community (alias clave de acceso)
com2sec local 127.0.0.1/32 local
com2sec miRed 192.168.1.0/24 public

recommunity miRed

#Se asigna ACL al grupo de lectura escritura
group MyRWGroup v1 local
group MyRWGroup v2c local
group MyRWGroup usm local

#Se asigna ACL al grupo de solo lectura
group MyROGroup v1 miRed
group MyROGroup v2c miRed
group MyROGroup usm miRed

# Ramas MIB que se permiten ver
## name incl/excl subtree mask(optional)
view all included .1 80

# Establece permisos de lectura y escritura
## group context sec.model sec.level prefix read write notif
access MyROGroup «» any noauth exact all none none
access MyRWGroup «» any noauth exact all all all

# Informacion de Contacto del Sistema
syslocation Servidor X en CUALQUIER PARTE
syscontact Encargado (hablame@gmail.com)

Ya hemos configurado:


  • Listas de control de acceso: Se deben crear las listas de control de acceso (ACL o Access Control List) , las cuales sirven para definir lo que tendrá acceso hacia el servicio snmpd. A una de estas listas se le otorgará permiso de acceso de lectura y escritura, para lo que sea necesario en relación con administración, y a la otra de solo lectura. Por razones de seguridad solo la interfaz 127.0.0.1 estará en la lista de lectura escritura. Se otorgará permiso de acceso de solo lectura a una red o bien a una dirección IP en la otra lista de control de acceso.
  • Definición de grupos: Se crean al menos dos grupos: MyRWGroup y MyROGroup. El primero será un grupo al que se asignarán más adelante permisos de lectura escritura y el segundo será un grupo al que posteriormente se asignarán permisos de solo lectura. Por cada grupo se asignan tres líneas que especifican el tipo de acceso que se permitirá en un momento dado a un grupo en particular. Es decir, MyRWGroup se asocia a local y MyROGroup a miRed.
  • Ramas permitidas: Se especifican las ramas que se van a permitir ver a través del servicio.
  • Asignación de permisos a los grupos: Se debe especificar que permisos tendrán los dos grupos, MyROGroupMyRWGroup. Son de especial interés las últimas columnas.
  • Parámetros de carácter informativo: Se definen dos parámetros de carácter informativo para que cuando utilicen aplicaciones cliente como MRTG se incluya algo de información acerca de que sistema se está accediendo.
Luego simplemente guardamos el archivo. Ahora tenemos que configurar el servicio snmp para que se accedido desde cualquier parte de miRed por lo cual, tendremos que editar el archivo /etc/default/snmpd y buscar la linea:


SNMPDOPTS=’-Lsd -Lf /dev/null -u snmp -I -smux -p /var/run/snmpd.pid’

y la reemplazamos por


SNMPDOPTS=’-C -c /etc/snmp/snmpd.conf -p /var/run/snmpd.pid’


Guardamos el archivo y luego reiniciamos el servicio snmpd tecleando

root@server1:# /etc/init.d/snmpd restart


Pruebas

Una vez hemos terminado la parte de configuracion debemos proceder a hacer unas pruebas minimas para saber si nuestro SNMP se esta ejecutando adecuadamente en nuestra red. Para esto abrimos una consola y tecleamos

root@server1:# snmpwalk 127.0.0.1 -c local -v2c system

y luego tecleamos

root@server1:# snmpwalk 192.168.1.131 -c public -v2c system

Si en ambos casos la respuesta es una maraña de informacion, podemos dar por sentado que el servicio se ejecutó adecuadamente a nivel local (es decir sobre la máquina donde lo ejecutamos) y a nivel de red.

>Una vez mas nos tocó analizar algunas herramientas e implementar la que nos resulte mejor en relación costo/beneficio (donde costo significa esfuerzo y no $$).
Compitiendo con AMANDA (Advanced Maryland Automatic Network Disk Archiver) y Bacula, el
BackUpPC fue el elegido por su fácil instalación y configuración, y sobre todo la nula necesidad de instalar clientes en las máquinas a backupear.

BackupPC

BackupPC es una herramienta empresarial de alto rendimiento para realizar copias de seguridad de PCs y portátiles Linux y Windows a servidores de disco. BackupPC es altamente configurable y fácil de instalar y mantener. Hace backups de multiples máquinas vía la generación de un Tar, Samba o rSync. También puede hacer backups en cinta.

Ventajas

A pesar de que comparte algunas características con otros productos, tiene otras que son útiles en infraestructuras heterogéneas:

  1. Soporta clientes en casi todas las plataformas (Windows, Linux, Unix, MacOS).

  2. El servidor puede funcionar en hardware genérico y con diversos sistemas operativos.

  3. No se requiere instalar ningún programa en los equipos a respaldar.

  4. Utiliza diversos mecanismos para la comunicación (Samba, Rsync).

  5. Realiza respaldos totales e incrementales, con diferentes niveles de compresión para cada equipo.

  6. Utiliza discos duros en arreglo o cintas como dispositivos de destino.

  7. Permite a cada usuario que revise y administre sus trabajos de respaldo.

  8. Ofrece una interfaz Web donde se administran y restauran los trabajos de respaldo.

  9. Soporta creación de archivos en dispositivos magnéticos, que permiten trasportar los respaldos fuera de las instalaciones.

  10. No requiere la adquisición de licencias y el número de usuarios soportados depende más bien de la red y la capacidad de almacenamiento.

Esta es una solución muy completa, diseñada para entornos corporativos, pero que requiere de conocimientos sobre OpenSSH, Samba y Rsync, además de nociones de redes y del manejo de paquetes de Linux, de acuerdo a la distribución que el lector seleccione.

Instalación

La instalación la realizamos sobre un Ubuntu Linux Server 8.04 mediante el comando apt-get (no mas comentarios!).

Lo único luego de su instalación es generar una clave con htpasswd para el usuario backuppc que es el usuario generado por default.

Dentro de /etc/backuppc tenemos los archivos de configuración que se conforman de un config.pl con los valores mas genericos y dentro de esta carpeta se iran agregando los archivos nombre-host.pl con la configuración específica de cada una de las computadoras que se resguardará.

Una de las bondades del BackUpPc es el entorno web que trae para administrarlo, de manera que se puede configurar todo desde un browser en http://localhost/backuppc .

Una verificación que se debe hacer antes de agregar un host es verificar que el servidor resuelva el nombre, ya sea vía DNS o mediante el archivo hosts dentro de /etc.

El método que se eligió para trabajar en rSync, para ello es necesario tener generadas y configuradas las claves publicas y privadas en el servidor de backUp y en los clientes a sincronizar.


//
// Genero la clave en el servidor y la copio
//

root@server1:# sudo -u backuppc touch /var/lib/backuppc/.ssh/known_hosts
root@server1:# sudo -u backuppc ssh-keygen -t rsa
root@server1:# sudo -u backuppc cp /var/lib/backuppc/.ssh/id_rsa.
pub /var/lib/backuppc/.ssh/BackupPC_id_rsa.pub
root@server1:# scp /var/lib/backuppc/.ssh/
BackupPC_id_rsa.pub client1:/home/pepe/.ssh/

//
// Agrego la clave publica en el authorized_keys2 del cliente
//
root@
client1:# cat /home/pepe/.ssh/BackupPC_ id_rsa.pub >> authorized_keys2


Los parámetros de configuración son entendibles, básicamente se configura el método a utilizar ($Conf{XferMethod}) y el directorio a resguardar ($Conf{RsyncShareName})


No recuerdo mayor complicación en la configuración de esta herramienta, solo hay que tener cuidado con el usuario que se utiliza para generar las claves públicas y privadas (en este caso backuppc).

Ahora disponemos de una interface sencilla de administración vía web de nustro sistema de BackUp donde se pueden hacer copias bajo demanda y en un tiempo establecido, de manera incremental y en poco tiempo gracias al uso del rSync.


Suspendiendo o eliminando un cliente

Para suspender la ejecución del backup en un cliente se modifica el valor de $conf{FullPeriod} en el archivo de configuración del cliente. Los valores que se pueden utilizar son -1 y -2:

  • -1 : Con este valor se suspenden los backups regulares del cliente aunque queda disponible la opción de ejecutarlo manualmente desde la interface web.
  • -2 : Con dicho valor se bloquea la posibilidad del backup ya sea desde su ejecución automática o de manera manual desde la interface web.

Ambos estados permiten explorar los backups anteriores.

Para eliminar completamente los backups de un cliente se debe borrar el archivo de configuración (host.pl) y remover el __TOPDIR__/pc/$host del disco. Es necesario recargar la aplicación con el comando /etc/init.d/backuppc reload .

Resguardando el pool de datos

Para hacer una copia del directorio de datos del sistema de backup principalmente es necesario disponer de un file system tan grande como el directorio __TOPDIR__. La copia se puede realizar con el comando dd (copias a nivel de bloques), el comando cp con el parámeto -a o con rsync -H.
Si lo que se desea es reponer los datos resguardados a partir de estos últimos se utilizará el comando BackupPC_tar_PCCopy provisto por el BackupPc.

__INSTALLDIR__/bin/BackupPC_tarPCCopy __TOPDIR__/pc | tar xvPf –

Asegurando el sistema de BackUp (permitRootLogin=no)

Una vez configurado el sistema, una de las cosa que no me gustó de la instalación básica es que se debía modificar él acceso vía ssh al cliente. Para que dicho acceso vuelva restringirse hay que combinar algunas herramientas.

En primer lugar instalaremos en la máquina cliente de BackUp (client1) un shell restringido (rssh) al que solo se le permitirá realizar un rsync. Este shell estará disponible para el usuario backuppc, el cuál crearemos luego. También habilitaremos el rsync dentro de la lista de servicios accesibles en nuestro shell:

root@client1:# apt-get install rssh
root@client1:# adduser backuppc –shell /usr/bin/rssh –disabled-password
root@client1:# vi /etc/rssh.conf

y descomentamos la siguiente línea

#allowscp
#allowsftp
#allowcvs
#allowrdist
allowrsync

El siguiente paso es volver a la normalidad el servicio de ssh evitando login de root a nuestro cliente, para lo cuál modificaremos el archivo /etc/ssh/sshd_config :

root@client1:# vi /etc/ssh/sshd_config

y modificamos la siguiente línea:

PermitRootLogin no

El último paso para que nuestro nuevo usuario backuppc pueda ejecutar el rsync (eso u solo eso), debemos agregar una ack en el archivo /etc/sudoers. Tener en cuenta que este archivo se puede modificar con cualquier editor de textos pero es conveniente utilizar el comando visudo para que, al guardar, verifique una correcta sintaxis y así evitar problemas.

root@client1:# visudo

y la línea a agregar será:

backuppc ALL=NOPASSWD: /usr/bin/rsync –server –sender *

Esto indica que el comando rsync podrá ser utilizado vía un sudo desde cualquier máquina (ALL) y sin password (NOPASSWD) por el usuario backuppc.

Del lado del cliente solo resta agregar la clave pública del usuario backuppc del servidor de backups en el archivo authorized_keys (o
authorized_keys2 según el caso) dentro de /home/backuppc/.ssh/ . Si dicha clave no estaba creada aún les repetimos los pasos:

root@server1:# sudo -u backuppc ssh-keygen -t rsa
root@server1:# scp /var/lib/backuppc/.ssh/id_rsa.pub client1:/home/backuppc/.ssh/authorized_keys2

El último paso es cambiar la configuración del backuppc modificando el archivo client1.pl desde un editor de texto o vía el administrador web para que backuppc sea el encargado de ejecutar el comando en lugar de root. Para ello se modifcará las líneas:

#$Conf{RsyncClientCmd} = ‘$sshPath -q -x -l root $host $rsyncPath $argList+’;
#$Conf{RsyncClientRestoreCmd} = ‘$sshPath -q -x -l root $host $rsyncPath $argList+’;

$Conf{RsyncClientCmd} = ‘$sshPath -q -x -l backuppc $host sudo $rsyncPath $argList+’;
$Conf{RsyncClientRestoreCmd} = ‘$sshPath -q -x -l backuppc $host
sudo $rsyncPath $argList+’;

Links:



Stop SOPA