Automatisierte Backups mit Borg

onli blogging

Vor etwa einem Jahr entdeckte ich Borg, ein Programm für inkrementelle Offsite-Backups. Der Artikel endete mit:

Bis jetzt bin ich sehr zufrieden damit, und es freut mich sehr, dass diese letzte gravierende Backuplücke endlich gefüllt ist. Nur automatisiert muss das noch werden.

Und klar: Natürlich kam ich nie zum Automatisieren. Ich hatte also Backups, aber hätte bei einem Festplattenausfall trotzdem noch Daten verloren. Auch beispielsweise hier nach den manuellen Backups geschriebene Artikel im Blog. Daran wurde ich jetzt durch den schmerzhaften Datenverlust bei Gitlab wieder erinnert.

Das Automatisieren war schwierig für mich, weil ich es im Kopf nicht richtig aufgedröselt bekam. Das SSH-Passwort zum rsync-Server soll nirgends im Klartext stehen, auch das Passwort für das Backup war mir zu wichtig. Wie also automatisieren? Heute habe ich mir die Zeit genommen das endlich zu lösen, und es ist im Grunde wirklich einfach. Das SSH-Passwort wird durch einen SSH-Key ersetzt, dann kann Borg sich ohne Passworteingabe mit dem rsync.net-Server verbinden. Das Backup-Passwort wird durch ein neues und nur dafür generiertes ersetzt. Dann kann das mit ins Backup-Skript, denn wer das liest hat sowieso schon Zugriff zu allen damit geschützten Daten. Im Detail ging es also so:

1. SSH-Key für Login aktivieren

Rsync hat eine Anleitung dafür, aber bei jedem anderen Borg-Server geht das genauso. Mein Desktop hat schon einen Key, auf dem Server musste noch einer erstellt werden:

ssh-keygen -t rsa

Zuerst schaltete ich meine Hauptmaschine auf dem Server frei:

scp ~/.ssh/id_rsa.pub USER@SERVER:.ssh/authorized_keys

Ist dort schon ein Key gesetzt muss man den zusätzlichen Key, den des Servers, stattdessen hinten anhängen:

cat ~/.ssh/id_rsa.pub | ssh USER@SERVER 'dd of=.ssh/authorized_keys oflag=append conv=notrunc'

2. Backup-Passwort setzen

pass generierte ein neues Passwort. Ich ging davon aus, die bestehenden Backups löschen zu müssen, um das Verschlüsselungspasswort ändern zu können. Doch das stimmt nicht, Borg kann das Passwort ersetzen:

borg change-passphrase USER@SERVER:backup_blog

Ansonsten würde das Passwort bei der Initialisierung abgefragt:

borg init --encryption=repokey USER@SERVER:backup_blog

Skript ergänzen und Cronjob erstellen

Das Backup wird durch ein kleines Skript (borg_backup.sh) durchgeführt. Das ist immer noch ziemlich identisch zu dem Quickstart-Beispiel. Jetzt musste es um das Passwort ergänzt werden:

#!/bin/sh
REPOSITORY=USER@SERVER:backup_blog
export BORG_PASSPHRASE='…'

~/borg-env/bin/borg create --stats --compression lzma,2        \
    $REPOSITORY::`hostname`-`date +%Y-%m-%d`    \
    /root                                       \
    /var/www/html                               \
    /etc/apache2                                \

borg prune -v $REPOSITORY --prefix `hostname`- --keep-weekly=2

Edit: Diese Datei sollte natürlich nur für den Backup-Nutzer lesbar sein, am besten Root, siehe Thomas Kommentar.

Dieses Backup sichert übrigens auch die Datenbank, denn die liegt als SQLite-Datei unter /var/www/html/. Mitsamt den restlichen Daten landet sie dank des finalen Puzzlestücks automatisiert und regelmäßig auf dem Backupserver, dem Cronjob:

 # m h  dom mon dow   command
0 2 * * * /root/borg_backup.sh

Und voila, knapp ein Jahr Verdrängung innerhalb weniger Stunden beendet. Wenn ihr noch keine habt, richtet Backups ein. Borg macht es einfach, und das Borg-Angebot von rsync.net ist nicht teuer. Wobei es dafür natürlich Alternativen gibt, beispielsweise tarsnap, siehe die Kommentare im vorigen Beitrag.

| Kommentare (17) | Trackbacks (0) | in Linux

Trackbacks

Keine Trackbacks


Kommentare

Any am :

*

Danke für den Artikel, einen kleinen Tipp habe ich hierzu noch.

Mit ssh-copy-id bekommst du die SSH-Keys wesentlich komfortabler übertragen und gemanaged.

onli am :

*

Danke, das ist eine gute Ergänzung. Ich hatte mich über das dd schon gewundert, aber ssh-copy-id komplett vergessen.

Thomas Waldmann am :

<em>

Ja, ssh-copy-id soll* das komfortabel loesen.

Leider schon oefters erlebt, dass es nicht wie erwartet funktioniert (siehe auch openssh issue tracker), v.a. wenn schon andere Keys auf dem Server existieren.

Marius am :

*

An der Lösung an sich ist nichts zu bemängeln, soweit ok :)

Jetzt die schlechte Nachricht: Ist leider überholt.

Weil: Seit Locky's Linux Verwandte unterwegs sind, reicht so eine Backupstrategie nicht mehr aus, denn sie hat gravierende Nachteile.

Aber da kommt Ihr selbst drauf.

onli am :

*

Ich seh wirklich nicht was du meinst? Offsite-Backups sind doch genau die Lösung für das Angriffsszenario. Sollte ein Server infiziert werden, könnten die verschlüsselten Dateien mit denen aus dem Backup ersetzt werden.

Any am :

*

Na durch das passwortlose Anmelden besteht natürlich theoretisch die Gefahr das die Backups beim Anbieter ebenfalls verschlüsselt werden.

senden9 am :

*

Nein. Borg unterstützt einen append-only mode im serve mode. Siehe: http://borgbackup.readthedocs.io/en/stable/usage.html#borg-serve

Somit können nur neue Backups angefügt aber alte nicht mehr verändert werden. Dazu muss man sich auf dem Server anmelden & --append-only wieder aus "~borg/.ssh/authorized_keys" entfernen.

onli am :

*

Selbst wenn borg das zulassen würde, müsste dafür die Ransomware die Backupserveradresse aus meinem handgeschriebenem Backupskript auslesen. Und dafür braucht es Rootrechte. Halte die Gefahr für sehr gering.

Schroeffu am :

*

Ich empfehle dir auch täglich einen (my)sql dump zu erstellen, kurz bevor der Borg Backupjob losrennt.

In der Praxis kann das alleinige restoren des mysql ordners (/var/lib/mysql) zu fehlern führen, wenn das Backup zur Laufzeit gemacht wurde (database is corrupt etc). Man kann es zwar hinbiegen mit googeln und wursteln, kostet aber 15-120 Minuten Zeit und ganz viel Nerven.

Auf Debian einfach apt-get install automysqlbackup installieren und dessen Backuporner (ich glaube /var/lib/automysqlbackup) ins Backup mitnehmen. Das Scripz erstellt automatisch von allen Datenbanken daily Backups as default.

onli am :

*

Glücklicherweise habe ich inzwischen wirklich nirgends mehr MySQL laufen. Das läuft alles über SQLite, ist also als stinknormale Datei im Backup und sollte so sauber gesichert werden. Trotzdem Danke für den Tipp, automysqlbackup klingt hilfreich sollte sich das mal ändern.

Thomas Waldmann am :

*

Netter Artikel!

Was Du vielleicht noch erwaehnen willst, ist dass man das backup-script nur fuer root lesbar hat:

chown root.root borg_backup.sh
chmod 600 borg_backup.sh

Dann kann nur jemand, der eh schon root ist, das darin enthaltene Verschluesselungs-Key-Passwort auslesen.

onli am :

*

Danke, ich werde es im Artikel erwähnen.

Jens am :

*

Borg-Backup setze ich selber seit einiger Zeit ein. Leider hat Borg-Backup noch nicht die umfangreiche Unterstützung an Backup-Zielen wie z.B. das vorher von mir verwendete Duplicity. Auch kann es leider keine auf SFTP/SCP beschränkte SSH-Logins, wie sie z.B. einige Hoster als Backuplösungen anbieten. Die Notlösung, das Backupverzeichnis mit einem unterstützten Protokoll ins Filesystem vor dem Backup reinzuhängen ist da nur eine Krücke. Vielleicht ändert sich daran ja in Zukunft noch was.

onli am :

*

Ist dieses Backupziel in deinem Fall genau so ein Backupserver deines Hosters? Ich frage, weil ich im Kopf auch die Möglichkeiten durchgegangen bin, wo das Backup landen könnte. Richtig viele Ideen hatte ich nicht.

So kam ich dann wieder darauf, borg zu nutzen. Bei mir im Kopf ist das sowieso mit rsync.net verknüpft, und da läuft bei diesem Kontentyp außer borg/attic nichts anderes. Daher hab ich diese Einschränkung nicht wirklich wahrgenommen.

SFTP per SSHFS sollte aber eigentlich gut funktionieren.

Jens am :

*

Ja, ich benutze für das Backup meiner Webseite den vom gleichen Hoster (Hetzner) angebotenen Backupspace. Und dieser ist eben leider nur per SFTP/SCP, CIFS und WebDAVs erreichbar.

Martin am :

*

Borg gibt es jetzt auch auf dem Hetzner Backupspace/Storagebox: https://wiki.hetzner.de/index.php/BorgBackup

onli am :

*

Preislich auch attraktiv, wenn man die 100GB des kleinsten Tarifs nutzen kann.


Kommentar schreiben

HTML-Tags werden in ihre Entities umgewandelt.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne machen ein Wort kursiv (*wort*), per **wort** wird es fett. [http://www.example.com Link] fungiert als URL-Tag.
 
 
Datenschutzerklärung