ich kann Eure Probleme mit FTP und SSL nicht ganz nachvollziehen. Natürlich sollte auch die FTP-Verbindung nach Möglichkeit verschlüsselt sein, auch wenn die Daten selber schon verschlüsselt sind. Was nützt es mir, wenn mein FTP-VErzeichnis geleert ist und mir genau dann die Festplatte wegfliegt…

Ich mache das hier mit tlswrap von http://tlswrap.sunsite.dk/, das wurde auch schon einmal kurz angesprochen. Dem tlswrap übermittelt man im Usernamen die Informationen über den eigentlichen Usernamen und den eigentlichen FTP-Server, leider wird dazu standardmässig das “@” als Trenner benutzt. Gibt man das nun so in die conf-Datei ein, will duplicity das gar nicht haben, soweit ganz richtig.

tlswrap muss dagegen z.B. mit
tlswrap -t “#_:%+”
gestartet werden, das sorgt dafür, dass jetzt der “_” als Trennungszeichen dient. In der conf-Datei steht dann entsprechend:

TARGET=’ftp://username_ftpserver@localhost:7000/subdir/

Und damit ist die FTP-Übertragung verschlüsselt.

Als neues Problem ist hier mit dem Duplicity aus Debian-Backports und dem ftplicity von Sourceforge noch aufgetreten, dass die Dateien zwingend in einem Unterverzeichnis auf dem FTP-Server erwartet werden. Will man die duplicity-Dateien direkt in das Home des FTP-Users werfen, gibt es die seltsamsten Fehlermeldungen.

apt-get install gawk

hat bei mir geholfen.

awk: line 2: function gensub never defined
expr: missing operand
Try `expr –help’ for more information.
awk: line 2: function gensub never defined
/usr/local/bin/ftplicity: line 230: [: -eq: unary operator expected
/usr/local/bin/ftplicity: line 232: [: too many arguments
Using installed duplicity version 0.4.10 (OK).

jetzt melde ich mich mal wieder zu Wort. Seit einem Update von ftplicity funktioniert zwar das Backup noch, aber sonst bricht fast alles mit folgender Meldung ab. Gibt es ein HowTo für die neue Version, wo man sich auch über neuerungen einlesen kann??

# ftplicity backup purge –force
awk: line 2: function gensub never defined
expr: missing operand
Try `expr –help’ for more information.
awk: line 2: function gensub never defined
/usr/sbin/ftplicity: line 219: [: -eq: unary operator expected
/usr/sbin/ftplicity: line 221: [: too many arguments
Using installed duplicity version (OK).
Command line error: Too many arguments
See the duplicity manual page for instructions

Danke

Daniel

die Idee mit sftp reicht ja vollkommen aus, damit hab ich ja alles, was ich immer wollte. 1. Klappt nur bei meinem Server, 2. Verschlüsselt auch noch doppelt.

Das Problem wird nur evtl sein sftp mit ftplicity anzusprechen. Ich hab es mal in einer älteren Version probiert, dort war jedoch nur ftp möglich.

Danke
Daniel

wie gesagt die schwachstelle in deiner strategie ist die dyndns zuweisung.. ergo wenn du sicherstellen kannst, dass das backup auf dem richtigen server landet, ist dein problem gelöst…

mir fällt da z.B. ein verzicht auf einen öffentl. dyndns dienst ein .. du könntest per scripting sicherstellen dass die entsprechende IP irgendwo hinterlegt wird, wo du sie abholst ODER du nutzt kommerzielles dyndns (vielleicht mit verschlüsseltem update) da kenne ich aber keinen anbieter

wie auch immer … zusätzlich kannst und solltest du versuchen sftp zu nutzen und die authentifizierung per key organisieren … der hijacker kann relativ unmöglich deinen key besitzen.

soviel dazu .. ed

Hast Du schon mal drüber nachgedacht einen eigenen Dyn-Ip-DNS dafür einzurichten? Es bräuchte ja nur eine Subdomain einer deiner Domains sein. So kannst Du Dir etwas sicherer sein, dass Du unter der Zieladresse auch Deinen Server bedienst.

Nur mal so eine Idee.

Klar, die Daten werden beim nächsten Backup wieder alle übertragen, aber die history wäre damit weg. Nicht gerade professionell!

Daniel

nun .. wenn das backup verschlüsselt und signiert ist musst du dir keine sorgen machen. maximal verlierst du die backup sets und die zugangsdaten zum server … somit ist dein ftp server evtl. kompromittiert (aber wenn du so misstrauisch bist, checkst du wohl auch die logs)

ansonsten halte ich backups auf eine dynamische IP, die keine Standleitung ist, generell für fragwürdig und rate dir zu einem sicheren ftp account ala strato backup.serverkompetenz.de ..

@ovizii:
IOError: [Errno 22] Invalid argument
Das klingt schon ziemlich seltsam und hart. Ich habe dazu leider spontan auch keine Idee und würde Dich dafür in Englisch an die Mailingliste von duplicity verweisen.

@Daniel:
Sorry, ich habe bisher noch nicht die SSH-Variante in Angriff genommen. Bei einem Test ging die FTPSSL-Sache aber problemlos. In der aktuellen duplicityversion ist der FTP-Patch ja bereits drin.

ich wollte nochmal nachfragen, ob es mittlerweile eine Möglichkeit gibt die Daten über SSH laufen zu lassen? Ich möchte einen Server eines Kunden bei mir sichern lassen und möchte ungern, dass evtl jemand meine dyndns-Adresse umbiegt und so an die wenn auch verschlüsselten Daten kommt (Server-Authentifizierung). Wenn nicht würde mir für das Passwort ftp/ssl auch reichen.

Grüße

Daniel

/usr/local/bin# ftplicity full
NcFTP version is 3.2.0
Reading globbing filelist /etc/ftplicity/exclude.conf
Last full backup date: Thu Jan 1 01:00:00 1970
Traceback (most recent call last):
File "/usr/bin/duplicity", line 421, in ?
if __name__ == "__main__": main()
File "/usr/bin/duplicity", line 410, in main
if action == "full": full_backup(col_stats)
File "/usr/bin/duplicity", line 150, in full_backup
bytes_written = write_multivol("full", tarblock_iter, globals.backend)
File "/usr/bin/duplicity", line 83, in write_multivol
globals.gpg_profile,globals.volsize)
File "/usr/lib/python2.4/site-packages/duplicity/gpg.py", line 198, in GPGWriteFile
try: data = block_iter.next(bytes_to_go).data
File "/usr/lib/python2.4/site-packages/duplicity/diffdir.py", line 407, in next
result = self.process(self.input_iter.next(), size)
File "/usr/lib/python2.4/site-packages/duplicity/diffdir.py", line 487, in process
data, last_block = self.get_data_block(fp, size - 512)
File "/usr/lib/python2.4/site-packages/duplicity/diffdir.py", line 508, in get_data_block
buf = fp.read(read_size)
File "/usr/lib/python2.4/site-packages/duplicity/diffdir.py", line 338, in read
buf = self.infile.read(length)
IOError: [Errno 22] Invalid argument


ok, werde mir die error ausgabe mal daheim in Ruhe durchlesen, bin grad in nem cafe, schlecht für die konzentration.

scheint so als hätte damals jemand die lösung gepostet aber ich hab den thread anscheinend nicht abonniert. wäre das dort geschilderte problem geläst? oder brauche ich eventuell immer noch diesen patch?

ich meine ich werde es nach dem ersten inkrementellen backup ja auch herausfinden aber trotzdem hier mal die frage

wie schon in deinem anderen thread besprochen, und angeregt, setzen wir die config diskussion hier fort.

da du in deinem script die pfade komplett geändert hast, hab ic halle meine config dateien, sprich exclude, pre post und gpg.key umkopiert und an deine namen angepasst. jetzt den ersten versuch mit ftplicity full gestartet, melde mich dann in 5h oder so

aber jetzt zum crontab. ic hhatte dmals alles nach CT anleitung eingerichtet, und deine crontabs, sehen etwas anders aus.

meine waren: # 0 4 * * * /usr/local/bin/ftplicity backup #daily ftplicity backup to FTP_Backupspace
# 0 6 1 * * /usr/local/bin/ftplicity full && /usr/local/bin/ftplicity purge --force #monthly full backup + deleting of old records


ich hätte gerne monatlic hein full backup und täglich ne inkrementelle sicherung.
hab gesehen du hast da ein paar andere parameter mit übergeben, wie cleanup.

ist meine crontab-config so ok? bin grad extrem faul die hilfe dazu zu lesen, udn ja ich weiß was cleanup macht, aber wo sollte ich das sinnvollerweise bei meinem crontab einbauen?

duplicity ist gerade in der Version 0.4.4RC4 veröffentlicht worden und dort wurde u.a. die komplette Syntax für Befehle umgebaut.
Resultat: ftplicity geht nicht mehr.
Da dies ja kein Zustand ist, habe ich meine ftplicity-Version selbst geupda…

bitte schau oben den Trackback an, dort findest Du einen Patch.

Sobald ich Zeit habe, werde ich mich der SSL/TLS-Geschichte nochmal widmen…

HTH,
stevie

Da Daniel in dem HOWTO zu ftplicity nach einer Möglichkeit zur Verwendung eines anderen Ports beim Verbinden mit seinem FTP-Server gefragt hat und diese Möglichkeit bei duplicity scheinbar nicht ganz gegeben ist, habe ich mal fix einen Patch …

vielen Dank für Deine Antwort. Mein Problem ist folgendes. Ich habe meinen ftp-Server nicht auf Port 21 am laufen, damit dieser nicht mit Loginversuchen überschwemmt wird. Ich habe einen Server mit duplicity 0.4.2, da klappt auch alles durch angabe der Portnummer server:port. Auf einem anderen Server habe ich 0.4.4RC2 laufen. Da die neue Version aber ncftp als ftp Wrapper einsetzt, klappt die Angebe der Portnummer nicht mehr. Als Antwort kommt immer “No Route to host”. In der Syntax habe ich gelesen, dass ncftp ein “-P ‘port’” und kein “:port” erwartet, aber das kann ich unter ftplicity leider in der Form nicht angeben, da ein ‘ den Befehl vorzeitig beendet und ohne gehts auch nicht.
Kann ich dieses Problem irgendwie umgehen?
Vielen, vielen Dank

Daniel