NFS Freigabe auf root oder vServer?

[Domi]

Moin Leute, ich habe da mal eine Frage bezüglich der NFS Freigabe.
Ich habe ja mehrere Server, einen vollwertigen root (dedizierten) Server, und mehrere vServer

Da der dedizierte Server 1TB Space hat, habe ich überlegt, ob ich darauf eine NFS Freigabe für die IPs von zwei / drei vServer erstelle für ein Backup. Da ich bis jetzt nur einmal eine ganz normale NFS Freigabe erstellt habe, die nur den Zugriff von einer IP Adresse zulässt, wollte ich mal nachfragen ob das sehr unsicher ist, oder ob von Euch auch jemand diese Methode verwendet

Dann könnte ich mein selbst gebautes Backup-Script verwenden oder ganz simple mit "rsync" eine Sicherung in das Backup Verzeichnis machen...

Gruß, Domi

 

[blupp1]

Wie wärs mit einer VPN Verbindung?

 

[Domi]

Hm.. VPN Verbindung mit OpenVPN..?
Und dann wieder normal mit NFS arbeiten, oder wie war das gedacht?

 

[blupp1]

Ja, NFS über die VPN Verbindung.

 

[Domi]

Okay, dann werde ich mal gucken ob ich OpenVPN von Linux zu Linux auch hin bekomme. Habe bis dato immer nur einen OpenVPN Server auf Linux eingerichtet / installiert, und einen OpenVPN Client unter Windows laufen lassen.

Aber dann bin ich ja auf der sicheren Schiene.

Gruß, Domi

 

[Ben.]

Ich habe solch eine Lösung mit tinc (http://www.tinc-vpn.org/) realisiert.

Das funktioniert wunderbar und ist sehr einfach zu konfigurieren.

 

[d4f]

Da dein Ziel Backups ist; welche Art von Backups?
Rein dateibasierte Backups (was unter Linux ja ausreichend für eine volle Recovery ist) könntest du optimaler/eleganter durch rsync mit Hardlink lösen.
So kannst du viele historischen Backups der gleichen Machine vorhalten aber (je nach Änderungen) kaum zusätzlichen Speicher verwenden.


Rsync ist selber je nach Verwendungsart entweder über SSH getunnelt oder sollte durch ein VPN geschoben werden.

 

[Domi]

Nabend... Also was die Sicherung angeht, es ist aktuell so.
Ich sichere auf dem einen Server (Server 1) das Verzeichnis "/srv/vhosts" und einzelne Datenbanktabellen. Wobei die Datenbank dabei sogar viel wichtiger ist, da dort Kundendaten und Vertragsabschlüsse eingetragen werden. Der Bestand beinhaltet vielleicht 500Kb (gepackt!).

Auf dem anderen Server (Server 2) sichere ich "/srv/vhosts", "/srv/vmails" und einzelne Datenbanktabellen. Wobei hier der Schwerpunkt auf den Mails liegt, da z.B. auf meinem Postfach der Zugriff via IMAP erfolgt.

Mit welcher Methode ich das nun sichere (rsync) oder Backup mit tar, ist schon fast egal. Das mit TAR und NFS fand ich persönlich recht komfortabel und Idioten sicher. Einfach mit "tar -czf" packen und gut ist

Was die SSH Geschichte angeht, alle meine Server die ich habe sind mit KeyAuth. Ohne KeyFile geht da gar nichts.. ist bestimmt kein Problem das einzurichten, habe ich allerdings bis jetzt noch nie ausprobiert

Gruß, Domi

p.s. Ach ja, welche Art von Backup.. Gute Frage.. für die Datenbank mache ich gerade immer ein "Voll-Backup" da 500Kb (finde ich) kein Beinbruch machen. Bei Emails habe ich aktuell auch "Voll-Backup", allerdings wird da Montags, Mittwochs und Freitags ein File erstellt und Samstag Nacht wird in Woche 1 "backup1" gemacht, und Woche 2 "backup2", Woche3 wieder "backup1"

 

[Domi]

Wie wärs mit einer VPN Verbindung?

Moin.. Öhm.. Sage mal, wie realisiere ich es denn, dass NFS nur auf tun0 und nicht auf "eth1" reagiert?

Ich hatte bei google geguckt, wo ich ähnliche Fragen gefunden hatte die dann wieder weiter geleitet worden sind, bis ich wieder am Anfang stand. Alternativ hat man hosts.allow und deny angesprochen, da es aber ein root Server ist, auf dem der VPN Server läuft und wo NFS drauf laufen soll, möchte ich an den Dateien nicht arbeiten, weil der eine oder andere meinte das auch SSH darauf reagiert.. und wohl möglich auch der Apache oder ähnliches

Gruß, Domi

 

[PapaBaer]

Nur mal so eine Überlegung: Wenn du das Backup mountest, dann grillt dir ein wild gewordenes rm -rf / gleich das Backup mit unterm Hintern weg.

Wie schon angesprochen, rsync kann ssh. Wenn du eh rsyncen willst, dann lass es doch einfach gleich per ssh auf den Backup-Server schieben und gut ist. Obendrein gibt es gute und stabile Softwarelösungen, die genau deinen Fall sauber abdecken können. Als Beispiel will ich neben vielen anderen BoxBackup in die Runde werfen.

Als letzte Möglichkeit, wenn dein Provider das unterstützt, könntest du auch einfach Snapshots deiner VMs machen und beiseite legen. Damit wärst du auch noch alle Probleme rund um offene Sockets & Co. los.

Das in meinen Augen so krude mit allen Nachteilen selbst zu bauen, ist wenig zielführend.

 

[blupp1]

Hm. Kann man nicht irgendwie einstellen, dass der nur bestimmte IPs annimt?

 

[PapaBaer]

Sicherheit über IP-Adressen ist keine Sicherheit: http://de.wikipedia.org/wiki/IP-Spoofing

 

[Domi]

Nabend.. Also auf IPs wollte ich es ja nicht beschränken, sondern auf Devices, da ja ein VPN Kanal besteht, dann sollte der spoof auch vorbei sein, da es ja alles durch einen VPN Kanal läuft welcher auf ein anderes Device lauscht

Was die Sync Geschichte angeht, ich habe bis dato immer Probleme gehabt von Server zu Server eine SSH Verbindung aufzubauen, weil immer irgend etwas mit den Keys nicht hin gehauen hat allerdings weiß ich auch nicht mehr genau, was es war.. es ging auf jeden Fall nicht.

Problematik ist wohl die gewesen, dass ich auf allen Servern einen User "Domi" hatte und auf jedem Server ein anderes Keyfile habe. Wenn ich nun also via SSH auf dem Server 1 bin, und versuche eine Verbindung von Server 1 -> Server 2 aufzubauen, wird es wohl das ".ssh/authorized_keys" File sein, welches Probleme macht.

Richtig..? Weiterer Vorteil / Grund der VPN Verbindung ist auch, dass ich MySQL Verbindungen dadurch ermögliche, so das die Server untereinander in die Datenbanken gucken können

 

[Jesaja]

Für ne 2Wege-Kommunikation muss aber auch die Rückroute passen und die lässt sich deutlich schwerer manipulieren.

 

[blupp1]

http://dev.n0ll.com/2010/09/nfs-over-openvpn/

 

[Domi]

Für ne 2Wege-Kommunikation muss aber auch die Rückroute passen und die lässt sich deutlich schwerer manipulieren.

Gut, dass kann ich gar nicht so genau sagen.. damals in der Schule im Kurs hatten wir mit einem ARP Spoof nur die Pakete abgefangen um zu schauen ob es geht und was man da alles mit nehmen kann.

@blupp1, danke für den Link.. ich hatte so etwas wie "nfs vpn" gesucht, aber nichts gefunden. Dort sagte man dann immer das man das durch die hosts.allow und hosts.deny regeln könnte.

Allerdings habe ich eben ein wenig geforscht und gesehen, dass ich wohl in der hosts.deny so etwas wie "portmap: ALL" eintragen könnte. Das scheint dann wohl nur Wirkung auf NFS zu haben.. und in der allow sage ich dann, dass mein VPN Netz zugreifen darf.

Gruß, Domi

p.s. Gibt es eine Auflistung der Dienste die man in diesen hosts Dateien steuern kann..? Ich finde immer was für den inetd