Система: свежий и обновленный ubuntu Xenial Xerus 16.04.2. Начал с чистой минимальной системы, в которой был установлен только openssh. Чтобы установить backuppc 3.3.2, я сделал следующее:
apt-get install backuppc rsync libfile-rsyncp-perl par2 smbfs
Все остальное Apt сделал, установив такие зависимости, как apache2 и perl. Если вы думаете, что это может быть важно, я отредактирую вопрос и вставлю соответствующие строки из логов apt.
После этого я выполнил все настройки, необходимые для резервного копирования первого хоста, и через несколько дней вернулся в тестовую лабораторию, чтобы проверить, как там дела. Я должен сказать, что backuppc - прекрасное программное обеспечение, и оно сделало в точности - или даже лучше - то, что я ожидал!
Я только заметил, что на главном экране не отображаются графики пула; Устранение неполадок вернуло мне только одну информацию из журналов apache:
ERROR: opening '/var/lib/backuppc/log/pool.rrd': Permission denied
Определенно проблема с разрешениями: / var / lib / backuppc принадлежит backuppc: backuppc, а apache работает под учетной записью www-data.
Googleing для ошибки вернул такое исправление:
Resource | Actual perms | Solution's perms
/var/lib/backuppc | 2750 | 2751
/var/lib/backuppc/log | 750 | 751
/var/lib/backuppc/log/pool.rrd | 640 | 754
Эти изменения разрешений устранили проблему, и теперь отображаются графики. В любом случае, я все еще беспокоюсь о безопасности открытой службы после изменения разрешений. В этом случае я планирую внедрение в безопасной и изолированной среде, но что, если клиент попросит предоставить услугу, или, что еще хуже, если он сам предоставит ее? Я не хочу оставлять потенциальную дыру в безопасности именно там, где они будут восстанавливаться, если что-то пойдет не так в производственной среде.
Другим решением может быть добавление пользователя backuppc в группу www-data, но это может быть еще хуже с точки зрения безопасности.
Другим решением может быть исправление кода, запускаемого backuppc для решения такой проблемы (и, возможно, некоторых строк в файле sudoers), но у меня нет навыков программирования, и я не могу читать что-либо, кроме сценариев bash.
Итак, мой вопрос: Какое из них является наиболее безопасным для отображения графиков?
Если этот файл является единственным, вызывающим у вас головную боль, вы можете просто переместить папку журнала в место, где и пользователь www-data может читать его, и пользователь backuppc может писать в него. Затем создайте символическую ссылку.
mv /var/lib/backuppc/log/ /var/log/backuppc/
chown backuppc:www-data /var/log/backuppc/
chmod 750 /var/log/backuppc/
ln -s /var/log/backuppc/ /var/lib/backuppc/log/
Это лучше, чем открыть ваш / var / lib / backuppc / полностью для каждого пользователя в системе, особенно если подкаталоги и файлы в этой папке зависят от безопасности основной папки, которая ограничена только backuppc: backuppc.
Что касается добавления backuppc в группу www-data, то www-data не позволит получить доступ к файлу, принадлежащему backuppc. Вы имели в виду наоборот? В любом случае, я согласен, что это была бы плохая идея, если все конфиденциальные данные не доступны для чтения только пользователю backuppc, а не группе.
Почему руководство, которому вы следовали, предложило изменить /var/lib/backuppc/log/pool.rrd с 640 -> 754 (выполняется владельцем и группой), а не 640 -> 644, меня побеждает.
НОТА: Прошло несколько лет с тех пор, как я использовал BackupPC, поэтому я не совсем помню, как были разрешения в папке / var / lib / backuppc или другой потенциально конфиденциальной информации, содержащейся в каталоге журналов.
Надеюсь это поможет!
Ограничьте доступ к графу с помощью .htaccess. вы можете разрешить доступ своим клиентам только с помощью .htaccess.