墙裂推荐 PDF
付费版本:《UrBackup Server 2.4.x 管理手册中文版(网管小贾高级进阶版)》
<关注网管小贾微信公众号,发送 000946 获取>
此次翻译整理,并不是照本宣科,原文照搬,而是通过我大量的测试实操再结合手册中的内容做的一次大调整、大改写。
我做了以下这些事情:
- 修正了大量官网英文版中不通顺的语句(每个单词都认识,放一起愣不知道啥意思),使之更便于阅读、更易于理解。
- 根据实际场景操作添加了大量配图插画强化说明,有了图片理解起来就会很OK啊!
- 根据实际场景操作调整修正了部分说明内容(有部分官网内容由于版本更新问题,实际上并不准确甚至存在错误和误导)。
- 根据实际场景操作添加了大量官网手册中没有详细说明,甚至是压根就没提到的其他实用内容。
参考目录
- 1 开篇介绍
2 服务器安装
- 2.1
Windows
上的服务器安装 - 2.2
Ubuntu
上的服务器安装 - 2.3
Debian
上的服务器安装 - 2.4 在其他
GNU/Linux
发行版或FreeBSD
上安装服务器 - 2.5
GNU/Linux
服务器安装提示 - 2.6 操作系统独立服务器安装步骤
- 2.1
3 客户端安装
- 3.1
Windows
客户端安装 - 3.2 自动部署到多台
Windows
计算机 - 3.3
Linux
客户端安装 - 3.4
Mac OS X
客户端安装(追加内容,官网手册无此内容)
- 3.1
4 架构
- 4.1 服务器架构
- 4.2 客户端架构
5 安全
5.1 服务端
Web
界面的权限管理- 5.2 让
Web
页面可通过SSL
访问 - 5.2.1
Apache
配置 - 5.2.2
Lighttp
配置
- 5.2 让
5.3 客户端安全
- 5.4 传输安全
- 5.5 广域网模式安全
6 局域网中的客户端发现
7 备份过程
- 7.1 文件备份
- 7.2 映像备份
- 7.3 数据冲突概率
- 7.3.1 文件备份冲突概率
- 7.3.2 映像备份冲突概率
- 7.4 客户端和服务器上的备份前后脚本
- 7.4.1 客户端备份前后脚本
- 7.4.2 服务器后备脚本
8 广域网客户端
- 8.1 自动推送服务器配置到客户端
- 8.2 下载预配置的客户端安装程序
- 8.3 手动添加和配置客户端
- 8.4 通过
Internet
传输文件
9 服务器设置
- 9.1 全局服务器设置
- 9.1.1 备份存储路径
- 9.1.2 服务器网址
- 9.1.3 禁止磁盘镜像备份
- 9.1.4 禁止文件备份
- 9.1.5 自动关闭服务器
- 9.1.6 从更新服务器下载客户端
- 9.1.7 当新有服务器版本可用时通知我
- 9.1.8 自动更新客户端
- 9.1.9 最大同时备份数
- 9.1.10 最近活动客户端的最大数量
- 9.1.11 清理时间窗口
- 9.1.12 自动备份
UrBackup
数据库 - 9.1.13 本地网络的总体最大备份速度
- 9.1.14 全局软文件系统配额
- 9.2 邮件设置
- 9.2.1 邮件服务器设置
9.2.2 配置报告
9.3 客户端特定设置
9.3.1 备份窗口
- 9.3.2 高级备份间隔
- 9.3.3 排除文件
- 9.3.4 要备份的默认目录
9.3.5 虚拟子客户端名称
9.4 广域网设置
9.4.1 数据使用限额预估
9.5 高级设置
9.5.1 启用临时文件缓冲区
9.5.2 传输模式
- 9.5.3 增量映像备份样式
- 9.5.4 完整映像备份样式
9.5.5 批处理期间的数据库缓存大小
9.6 在增量文件备份期间使用符号链接
9.7 调试:所有文件备份的端到端验证
9.8 调试:使用客户端哈希验证文件备份
9.9 定期将
Internet
客户端的文件条目读入数据库9.10 文件备份后为客户端上的每个用户创建符号链接视图
9.11 每个客户端同时作业的最大数量
9.12 映像备份期间要分组快照的卷
9.13 文件备份期间要分组快照的卷
- 9.14
Windows
组件备份配置
10 恢复备份
- 10.1 恢复镜像备份
- 10.2 恢复文件备份
11 杂项
11.1 手动更新
UrBackup
客户端11.2 日志记录
- 11.3 使用的网络端口
- 11.4 在
GNU/Linux
上挂载(压缩)VHD
文件 11.5 在
Windows
上将VHD
挂载为卷11.6 解压
VHD
文件11.7 将多个卷
VHD
映像组装到一个磁盘VHD
映像中11.8 迁移非
btrfs
备份存储
12 存储
- 12.1 每晚备份删除
- 12.2 紧急清理
- 12.3 清理具有大量备份文件的服务器
- 12.4 清理具有
UrBackup
未知文件的存储文件夹 - 12.5 归档
- 12.5.1 归档窗口
- 12.6 合适的文件系统
- 12.6.1
Ext4/XFS
- 12.6.2
NTFS
- 12.6.3
btrfs
12.6.4
ZFS
12.7 存储设置建议
- 12.7.1
ZFS
- 12.7.2
Btrfs
5 安全
5.1 服务端 Web
界面的权限管理
UrBackup
服务端的 Web
管理页面系统拥有一套非常标准的用户系统,你可以按实际需求创建、管理或删除帐户。
这些帐户仅通过权限的管理松散地与客户端相关联,意思是说,一个帐户对应着一个客户端,同时它可以视情况而拥有不同的权限。
请小心,在首次安装 UrBackup
服务端后,Web
管理页面并没有设置管理员密码,因此任何人都可以登录到 Web
管理页面并且可以随意查看所有备份的文件!
如果你想做到限制用户访问,那么你应该立即找到设置中的帐户管理,创建管理员帐户并为其设置密码。
管理员帐户可以做任何事情,包括浏览查看所有客户端的文件备份。
而在 Web
管理页面中则允许我们创建一个“受限”帐户,并且该帐户只能在某个指定的客户端一侧浏览备份和查看统计信息。
更复杂一些的权限设定可以允许一个帐户访问多个客户端或者限制某些特定权限。
例如,你可以设置一个帐户,该帐户可以执行除浏览备份之外的所有操作。
你可以限制或扩展帐户的权限,目前我们可以参考使用的以下域:
Domain/域 | Description/描述 |
---|---|
browse_backups | 浏览和下载文件备份 |
lastacts | 查看服务器执行的最后操作(文件或映像备份)(包括备份大小和持续时间) |
progress | 查看当前运行的文件或映像备份的进度 |
settings | 允许更改设置 |
client_settings | 允许更改客户端特定设置 |
status | 允许查看当前状态(上次查看、上次文件备份和最后的映像备份) |
logs | 查看备份期间创建的日志 |
manual_archive | 手动归档文件备份 |
stop_backup | 停止服务器上客户端的备份 |
piegraph* | 查看统计信息 |
users* | 获取客户端名称 |
general_settings* | 更改常规设置(如备份存储路径) |
mail_settings | 更改邮件服务器设置 |
usermod* | 创建、更改和删除用户 |
remove_client* | 删除客户端并删除其所有备份 |
start_backup* | 为服务器上的客户端启动备份 |
download_image | 通过恢复 CD 从服务器下载卷映像 |
你可以将未标有星号 ( *
) 的域依次赋予一个或多个客户端的用户ID(用 ,
分隔),或者直接赋予所有用户ID all
,意为该帐户可以访问所有客户端。
带有星号( *
)的域必须是属于 all
或 none
,要么是 all
,要么是 none
,是固定的,不可被赋予给客户端帐户。
因此为了能够查看统计信息,你需要将 piegraph
和 users
这两个域同时都赋予给 all
。
有一个特殊的域 all
,它是所有域的通配符。
这意味着如果将域 all
赋予给了所有用户ID all
,则该帐户就拥有了执行一切的权限!
好了,到目前为止,我们应该了解了,用户至少需要一个 status
域才能够使用户成功登录 Web
页面系统。
5.2 让 Web
管理页面支持 SSL
访问
服务器 Web
管理页面可以通过 FastCGI
( TCP
端口 55413
)访问。
通过这种方式,你可以使用几乎所有现代 Web
服务来连接 UrBackup
使用,因此可以通过以下方式访问支持 SSL
的 Web
管理页面。
本节将描述如何使用 Apache
和 Lighttp
执行此操作。
5.2.1 Apache
配置
在 Apache
设置中为 UrBackup
的 www
目录创建软链接,或是为其定义一个别名 alias
。
针对创建软链接的方法,你需要切换到你的 SSL
的 Web
根目录 webroot
,然后执行类似于如下操作。
ln -s /usr/share/urbackup/www urbackup
请确保你在 Apache
上创建软链接的配置项中设置了 Option +FollowSymLinks
。
然后启用 Apache 2.x
的模块插件 mod_proxy_fcgi
。
例如在 Debian/Ubuntu
上可以这样。
a2enmod proxy_fcgi
然后将其中的 x
(某些)文件代理到本地(或远程)运行的 UrBackup
FastCGI
服务器(默认端口 55413
)。
例如,将以下内容添加到您的 SSL
虚拟主机配置中。
ProxyPass "/urbackup/x" "fcgi://127.0.0.1:55413"
路径 /urbackup/x
取决于 UrBackup
的 Web
根目录( index.htm
文件应该位于相同目录)以及你希望 Web
管理页面所在的位置。
好了,现在 UrBackup
应该可以通过 Apache
来访问了。
5.2.2 Lighttp
配置
如 Apache
配置中所述,将 urbackup/www
目录链接到 webroot
。
添加以下代码到你的 lighttp.conf
文件中。
include “conf.d/fastcgi.conf”
然后再添加以下代码到 fastcgi.conf
文件中。
fastcgi.server = (
"/urbackup/x" =>
(( “host”=>“127.0.0.1”,
“port”=> 55413
))
)
5.3 客户端安全
UrBackup
客户端仅在服务器或接口进程为其提供凭据时才应答指令。
服务器凭据保存在 /var/lib/urbackup/server_ident.key
中。
如果这个文件不存在,那么服务器会在第一次启动时随机生成。
服务器身份标识也由 私钥/公钥
形式的密钥认证系统来确认。
如果这种密钥认证不存在,服务器将生成一套私有和公有的 ECDSA
密钥,分别是 server_ident_ecdsa409k1.priv
和 server_ident_ecdsa409k1.pub
。
客户端接口凭据也以相同的方式生成,并且驻留在客户端一侧 UrBackup
目录的 pw.txt
以及 pw_change.txt
两个文件中。
要提供客户端核心进程接口命令,你需要的 pw.txt
或 pw_change.txt
这两个文件的内容,其内容具体取决于如下某些命令。
pw.txt
Getting the current status
- 获取当前状态Get the paths which are backed up during file backups
- 获取文件备份时备份的路径Get the incremental file backup interval
- 获取增量文件备份间隔Start backups
- 开始备份Pause backups
- 暂停备份
pw_change.txt
Change the paths which are backed up during file backups
- 更改文件备份期间备份的路径Get all settings
- 获取所有设置Change all settings
- 更改所有设置Get log entries/logs
- 获取日志条目/日志Accept a new server
- 接受新服务器
默认情况下,只有特权用户可以访问 pw_change.txt
。
在 Windows 上,这会导致访问 pw_change.txt
内容会提示需要提升到管理员权限。
如果你不想让让提升权限的窗口老跳出来,请禁用 UAC
或更改 pw_change.txt
的访问权限以允许非特权用户读取访问。
客户端核心进程从它接受了指令并允许通过 server_idents.txt
中所描述的下载文件后就保存了服务器凭据。
server_idents.txt
文件中每行一个凭据,同时服务器的公钥也保存在其中。
如果想要手动将服务器添加到 server_idents.txt
中,则需要删除 server_ident.key
文件末尾前置的 #I
和 #
。
UrBackup
在安装完成时 server_idents.txt
并不存在,之后客户端核心进程才接受(并添加)它看到的第一台服务器(使用服务器的公钥)。
在此之后,客户端不会接受具有不同凭据的其他服务器,并且一旦客户端检测到新服务器,则需要手动添加它们的凭据,或者通过单击弹出窗口来操作。
这可以防止其他人访问你想在公共场所备份的文件。
如果你想让多台服务器能够对一台客户端进行备份,那么你可以有两种选择。
要么,你手动向客户端提供服务器凭据(通过将凭据复制到 server_idents.txt
中),要么,通过复制相同的 server_ident.key
、 server_ident_ecdsa409k1.priv
和 server_ident_ecdsa409k1.pub
这三个文件为所有服务器提供相同的凭据。
5.4 传输安全
从客户端到服务器的数据传输在本地网络上是未加密的,允许窃听攻击恢复备份数据的内容。
考虑到这一点,你应该只在受信任的本地网络中使用 UrBackup
。
请注意,如果没有采取任何措施来防止这种情况,那么在本地网络中流量被重定向则非常容易。
5.5 广域网模式安全
广域网模式使用增强身份验证和加密。
三次握手通过使用一个共享密钥以及基于 SHA512
的迭代次数为 20000
的 PBKDF2-HMAC
加密算法完成。
数据使用 AES-GCM
加密和验证。
此外,通过服务器身份密钥和 ECDSA
私钥/公钥身份验证来完成本地网络服务器的身份验证。
墙裂推荐 PDF
付费版本:《UrBackup Server 2.4.x 管理手册中文版(网管小贾高级进阶版)》
<关注网管小贾微信公众号,发送 000946 获取>
扫码关注@网管小贾,个人微信:sysadmcc
网管小贾 / sysadm.cc