Sicherheit: Verschlüsseltes Backup per FTP unter Linux (Debian) mit "duplicity"

Zuerst muss das "duplicity" Paket installiert werden:

apt-get install duplicity ncftp

Das Paket "ncftp" wird ebenfalls installiert - ansonsten erhalten Sie die folgende Fehlermeldung beim Starten des Backupprogrammes:

sh: ncftpls: not found
NcFTP not found: Please install NcFTP version 3.1.9 or later

Verschlüsseltes Backup über FTP

Erstellen Sie einen neuen GPG Schlüssel für den Backup-Prozess:

  • gpg --gen-key
  • 1 (RSA & RSA Verfahren)
  • 2048 (2048 Bits sind normalerweise ausreichend)
  • 0 (Der neue Schlüssel verfällt nie)
  • "j" (Sicherheitsrückfrage, dass der Schlüssel nie verfällt)
  • Ihren Namen eingeben
  • Ihre E-Mailadresse eingeben
  • Kommentar eingeben (optional)
  • "f" (Fertig; der Schlüssel kann erstellt werden)
  • Geben Sie ein geheimes Passwort bzw einen geheimen Satz ein.
    Erzeugen Sie sich am einfachsten ein sicheres Passwort mit unserem Passwortgenerator:
    http://www.yourhelpcenter.de/passwortgenerator/
    Merken Sie sich Ihre geheime Eingabe gut - sie wird später regelmäßig benötigt.
  • Das System berechnet nun Ihren neuen GPG Schlüssel.
    Das kann einen Moment dauern und durch parallele Arbeiten auf einer anderen Konsole auf dem Computer beschleunigt werden.
    Durch solche Arbeiten werden im System schneller bessere Zufallszahlen erzeugt.
  • Ihnen werden die Schlüsseldaten angezeigt:
    gpg: "Trust-DB" wird überprüft
    gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
    gpg: Tiefe: 0 gültig: 1 unterschrieben: 0 Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
    pub 2048R/0B5A2C65 2011-12-10
    Schl.-Fingerabdruck = 43BF DE11 0954 8199 A7283 12BB 2A45 09EE 00A1 E372
    uid Mustermann <max@muster.de>
    sub 2048R/9B661A4B 2011-12-10

Sie können sich jederzeit alle auf Ihrem System verfügbaren GPG Schlüssel anzeigen lassen:

gpg --list-keys
/root/.gnupg/pubring.gpg
------------------------
pub 1024D/84EE3A53 2002-02-28
uid Carl Peterson <cpeterson@somewhere.com>
sub 1024g/96BE17FA 2002-02-28

Die GPG Key ID finden Sie im oberen Beispiel in der Nummer "84EE3A53".
Diese Key ID (Schlüsselkennung) werden Sie bei der späteren Sicherung benötigen.

Testen Sie nun Ihr verschlüsseltes Backup

Damit das Backup-Programm "duplicity" sich beim Speichern auf den FTP Server anmelden kann, wird das Benutzerpasswort für den FTP Zugang benötigt ("FTP_PASSWORD"). Für die Verschlüsselung der Daten wird das o.a. geheime GPG Passwort ebenfalls gebraucht ("PASSPHRASE"):

export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --include /home --include /root --include /var --exclude /var/tmp --exclude '**' / ftp://username@backupserver/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Ich persönlich teste das Backupsystem und die Verbindung zum FTP Server jedoch immer gerne mit einem kleineren und damit schnelleren Beispiel - ich sichere nur das "/etc" Verzeichnis:

export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --exclude '**' / ftp://username@backupserver/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Wenn Ihr Testbackup erfolgreich verlief, dann können (und sollten) Sie das Backup regelmäßig automatisch durchführen lassen. Dafür nutzen Sie einfach Ihr Testscript, fügen die Zeile "#!/bin/bash" am Anfang ein und speichern die Datei ab:

#!/bin/bash
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --exclude '**' / ftp://username@backupserver/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Achten Sie darauf, dass das Script ausführbar ist ("chmod +x scriptname") und tragen Sie den Start in die Crontab ein.

Verbindung zum FTP Server über einen anderen Port (Standard ist Port 21)

Häufig ist es sinnvoll, den normalen FTP Port (21) zu verschleiern und ihn auf einen anderen Port zu verlegen. Dnn müssen Sie Ihr Backup-Script wie im folgenden Beispiel anpassen. Hier wurde Port 5555 gewählt:

#!/bin/bash
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --exclude '**' / ftp://username@backupserver:5555/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Wiederherstellen (Restore) eines Backups von einem FTP Server

Auf dem Computer, auf welchem das Backup wiederhergestellt werden soll, muss der passende GPG Schlüssel eingerichtet sein.
Er muss zwingend dem von Ihnen angelegten Schlüssel (sh. oben) entsprechen.

Um die installierten Schlüssel anzuzeigen nutzen Sie folgenden Befehl:

gpg --list-keys

Im Vergleich zum Beispiel für das Backup muss der Schlüssel "84EE3A53" vorhanden sein.

mkdir /var/tmp/restorefolder
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" ftp://username@backupserver/foldername /var/tmp/restorefolder
unset PASSPHRASE
unset FTP_PASSWORD

Wiederherstellen (Restore) einer einzelnen Datei von einem FTP Server

Um nur eine einzelne Datei wiederherzustellen, nutzen Sie folgenden Befehl:

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --file-to-restore home/test/file.txt ftp://username@ftpserver/foldername /var/tmp/file.txt

Wurde die Datei zum Beispiel von einem Tag gelöscht und anschließend wieder ein Backup durchgeführt, dann nutzen Sie die Option "-t 1D". Dabei steht die Anzahl der Tage vor dem "D":

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" -t 1D --file-to-restore home/test/file.txt ftp://username@ftpserver/foldername /var/tmp/file.txt

Wiederherstellen (Restore) eines Ordners von einem FTP Server

Im Kern entspricht der Befehl dem vorherigen Beispiel - nur die Option "--file-to-restore" ist anders:

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --file-to-restore home/test/folder ftp://username@ftpserver/foldername /var/tmp/folder

Anzeigen der Dateien und Ordner in einem Backup auf einem FTP Server

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" list-current-files ftp://username@ftpserver/foldername

Es gibt noch einige andere (nützliche) Befehle.
Eine Übersicht erhalten Sie mit dem folgenden Befehl:

duplicity --help

Kostenlose & gute Alternativen
Duplicati
Wir hatten das Programm bereits gefunden und keine OpenSource Hinweise entdeckt. Die Entwickler von "Duplicati" haben uns kurz nach der Veröffentlichung dieses Artikels angeschrieben und einen Link zu den Quellen gegeben:
http://code.google.com/p/duplicati/source/browse/
Wir werden das Programm in den nächsten Tagen für Sie prüfen (Datensicherheit, etc.) und Ihnen dann hier eine kurze Empfehlung geben.


Dieser Artikel hat Dir geholfen ?
.. und Dir nerviges Ausprobieren, Suchen und Zeit erspart ?

Dann würde ich mich sehr freuen, wenn Du diese werbefreie Hilfeseite mit einer kleinen Anerkennung unterstützen würdest.
Vielen Dank !
PayPal Donate QR Code

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

achtzehn + 1 =