墙裂推荐 PDF 付费版本:《UrBackup Server 2.4.x 管理手册中文版(网管小贾高级进阶版)》

<关注网管小贾微信公众号,发送 000946 获取>

https://www.sysadm.cc/index.php/xitongyunwei/946-download-advanced-chinese-version-of-urbackup-server-2-4-x-administration-manual

此次翻译整理,并不是照本宣科,原文照搬,而是通过我大量的测试实操再结合手册中的内容做的一次大调整、大改写。

我做了以下这些事情:

  1. 修正了大量官网英文版中不通顺的语句(每个单词都认识,放一起愣不知道啥意思),使之更便于阅读、更易于理解。
  2. 根据实际场景操作添加了大量配图插画强化说明,有了图片理解起来就会很OK啊!
  3. 根据实际场景操作调整修正了部分说明内容(有部分官网内容由于版本更新问题,实际上并不准确甚至存在错误和误导)。
  4. 根据实际场景操作添加了大量官网手册中没有详细说明,甚至是压根就没提到的其他实用内容。


参考目录

  • 1 开篇介绍
  • 2 服务器安装

    • 2.1 Windows 上的服务器安装
    • 2.2 Ubuntu 上的服务器安装
    • 2.3 Debian 上的服务器安装
    • 2.4 在其他 GNU/Linux 发行版或 FreeBSD 上安装服务器
    • 2.5 GNU/Linux 服务器安装提示
    • 2.6 操作系统独立服务器安装步骤
  • 3 客户端安装

    • 3.1 Windows 客户端安装
    • 3.2 自动部署到多台 Windows 计算机
    • 3.3 Linux 客户端安装
    • 3.4 Mac OS X 客户端安装(追加内容,官网手册无此内容)
  • 4 架构

    • 4.1 服务器架构
    • 4.2 客户端架构
  • 5 安全

  • 5.1 服务端 Web 界面的权限管理

    • 5.2 让 Web 页面可通过 SSL 访问
    • 5.2.1 Apache 配置
    • 5.2.2 Lighttp 配置
  • 5.3 客户端安全

    • 5.4 传输安全
    • 5.5 广域网模式安全
  • 6 局域网中的客户端发现

  • 7 备份过程

    • 7.1 文件备份
    • 7.2 映像备份
    • 7.3 数据冲突概率
    • 7.3.1 文件备份冲突概率
    • 7.3.2 映像备份冲突概率
    • 7.4 客户端和服务器上的备份前后脚本
    • 7.4.1 客户端备份前后脚本
    • 7.4.2 服务器后备脚本
  • 8 广域网客户端

    • 8.1 自动推送服务器配置到客户端
    • 8.2 下载预配置的客户端安装程序
    • 8.3 手动添加和配置客户端
    • 8.4 通过 Internet 传输文件
  • 9 服务器设置

    • 9.1 全局服务器设置
    • 9.1.1 备份存储路径
    • 9.1.2 服务器网址
    • 9.1.3 禁止磁盘镜像备份
    • 9.1.4 禁止文件备份
    • 9.1.5 自动关闭服务器
    • 9.1.6 从更新服务器下载客户端
    • 9.1.7 当新有服务器版本可用时通知我
    • 9.1.8 自动更新客户端
    • 9.1.9 最大同时备份数
    • 9.1.10 最近活动客户端的最大数量
    • 9.1.11 清理时间窗口
    • 9.1.12 自动备份 UrBackup 数据库
    • 9.1.13 本地网络的总体最大备份速度
    • 9.1.14 全局软文件系统配额
    • 9.2 邮件设置
    • 9.2.1 邮件服务器设置
    • 9.2.2 配置报告

    • 9.3 客户端特定设置

    • 9.3.1 备份窗口

    • 9.3.2 高级备份间隔
    • 9.3.3 排除文件
    • 9.3.4 要备份的默认目录
    • 9.3.5 虚拟子客户端名称

    • 9.4 广域网设置

    • 9.4.1 数据使用限额预估

    • 9.5 高级设置

    • 9.5.1 启用临时文件缓冲区

    • 9.5.2 传输模式

    • 9.5.3 增量映像备份样式
    • 9.5.4 完整映像备份样式
    • 9.5.5 批处理期间的数据库缓存大小

    • 9.6 在增量文件备份期间使用符号链接

    • 9.7 调试:所有文件备份的端到端验证

    • 9.8 调试:使用客户端哈希验证文件备份

    • 9.9 定期将 Internet 客户端的文件条目读入数据库

    • 9.10 文件备份后为客户端上的每个用户创建符号链接视图

    • 9.11 每个客户端同时作业的最大数量

    • 9.12 映像备份期间要分组快照的卷

    • 9.13 文件备份期间要分组快照的卷

    • 9.14 Windows 组件备份配置
  • 10 恢复备份

    • 10.1 恢复镜像备份
    • 10.2 恢复文件备份
  • 11 杂项

    • 11.1 手动更新 UrBackup 客户端

    • 11.2 日志记录

    • 11.3 使用的网络端口
    • 11.4 在 GNU/Linux 上挂载(压缩)VHD 文件
    • 11.5 在 Windows 上将 VHD 挂载为卷

    • 11.6 解压 VHD 文件

    • 11.7 将多个卷 VHD 映像组装到一个磁盘 VHD 映像中

    • 11.8 迁移非 btrfs 备份存储

  • 12 存储

    • 12.1 每晚备份删除
    • 12.2 紧急清理
    • 12.3 清理具有大量备份文件的服务器
    • 12.4 清理具有 UrBackup 未知文件的存储文件夹
    • 12.5 归档
    • 12.5.1 归档窗口
    • 12.6 合适的文件系统
    • 12.6.1 Ext4/XFS
    • 12.6.2 NTFS
    • 12.6.3 btrfs
    • 12.6.4 ZFS

    • 12.7 存储设置建议

    • 12.7.1 ZFS
    • 12.7.2 Btrfs


5 安全

5.1 服务端 Web 界面的权限管理

UrBackup 服务端的 Web 管理页面系统拥有一套非常标准的用户系统,你可以按实际需求创建、管理或删除帐户。

这些帐户仅通过权限的管理松散地与客户端相关联,意思是说,一个帐户对应着一个客户端,同时它可以视情况而拥有不同的权限。

请小心,在首次安装 UrBackup 服务端后,Web 管理页面并没有设置管理员密码,因此任何人都可以登录到 Web 管理页面并且可以随意查看所有备份的文件!

如果你想做到限制用户访问,那么你应该立即找到设置中的帐户管理,创建管理员帐户并为其设置密码。

管理员帐户可以做任何事情,包括浏览查看所有客户端的文件备份。

而在 Web 管理页面中则允许我们创建一个“受限”帐户,并且该帐户只能在某个指定的客户端一侧浏览备份和查看统计信息。

更复杂一些的权限设定可以允许一个帐户访问多个客户端或者限制某些特定权限。

例如,你可以设置一个帐户,该帐户可以执行除浏览备份之外的所有操作。

你可以限制或扩展帐户的权限,目前我们可以参考使用的以下域:


Domain/域 Description/描述
browse_backups 浏览和下载文件备份
lastacts 查看服务器执行的最后操作(文件或映像备份)(包括备份大小和持续时间)
progress 查看当前运行的文件或映像备份的进度
settings 允许更改设置
client_settings 允许更改客户端特定设置
status 允许查看当前状态(上次查看、上次文件备份和最后的映像备份)
logs 查看备份期间创建的日志
manual_archive 手动归档文件备份
stop_backup 停止服务器上客户端的备份
piegraph* 查看统计信息
users* 获取客户端名称
general_settings* 更改常规设置(如备份存储路径)
mail_settings 更改邮件服务器设置
usermod* 创建、更改和删除用户
remove_client* 删除客户端并删除其所有备份
start_backup* 为服务器上的客户端启动备份
download_image 通过恢复 CD 从服务器下载卷映像


你可以将未标有星号 ( * ) 的域依次赋予一个或多个客户端的用户ID(用 , 分隔),或者直接赋予所有用户ID all ,意为该帐户可以访问所有客户端。

带有星号( * )的域必须是属于 allnone ,要么是 all ,要么是 none ,是固定的,不可被赋予给客户端帐户。

因此为了能够查看统计信息,你需要将 piegraphusers 这两个域同时都赋予给 all

有一个特殊的域 all ,它是所有域的通配符。

这意味着如果将域 all 赋予给了所有用户ID all ,则该帐户就拥有了执行一切的权限!

好了,到目前为止,我们应该了解了,用户至少需要一个 status 域才能够使用户成功登录 Web 页面系统。


5.2 让 Web 管理页面支持 SSL 访问

服务器 Web 管理页面可以通过 FastCGITCP 端口 55413 )访问。

通过这种方式,你可以使用几乎所有现代 Web 服务来连接 UrBackup 使用,因此可以通过以下方式访问支持 SSLWeb 管理页面。

本节将描述如何使用 ApacheLighttp 执行此操作。


5.2.1 Apache 配置

Apache 设置中为 UrBackupwww 目录创建软链接,或是为其定义一个别名 alias

针对创建软链接的方法,你需要切换到你的 SSLWeb 根目录 webroot ,然后执行类似于如下操作。

ln -s /usr/share/urbackup/www urbackup
 


请确保你在 Apache 上创建软链接的配置项中设置了 Option +FollowSymLinks

然后启用 Apache 2.x 的模块插件 mod_proxy_fcgi

例如在 Debian/Ubuntu 上可以这样。

a2enmod proxy_fcgi
 


然后将其中的 x (某些)文件代理到本地(或远程)运行的 UrBackup FastCGI 服务器(默认端口 55413 )。

例如,将以下内容添加到您的 SSL 虚拟主机配置中。

ProxyPass "/urbackup/x" "fcgi://127.0.0.1:55413"
 


路径 /urbackup/x 取决于 UrBackupWeb 根目录( index.htm 文件应该位于相同目录)以及你希望 Web 管理页面所在的位置。

好了,现在 UrBackup 应该可以通过 Apache 来访问了。


5.2.2 Lighttp 配置

Apache 配置中所述,将 urbackup/www 目录链接到 webroot

添加以下代码到你的 lighttp.conf 文件中。

include “conf.d/fastcgi.conf” 
 


然后再添加以下代码到 fastcgi.conf 文件中。

fastcgi.server = ( 
    "/urbackup/x" => 
    ((    “host”=>“127.0.0.1”, 
        “port”=> 55413 
    ))  
) 
 


5.3 客户端安全

UrBackup 客户端仅在服务器或接口进程为其提供凭据时才应答指令。

服务器凭据保存在 /var/lib/urbackup/server_ident.key 中。

如果这个文件不存在,那么服务器会在第一次启动时随机生成。


服务器身份标识也由 私钥/公钥 形式的密钥认证系统来确认。

如果这种密钥认证不存在,服务器将生成一套私有和公有的 ECDSA 密钥,分别是 server_ident_ecdsa409k1.privserver_ident_ecdsa409k1.pub


客户端接口凭据也以相同的方式生成,并且驻留在客户端一侧 UrBackup 目录的 pw.txt 以及 pw_change.txt 两个文件中。

要提供客户端核心进程接口命令,你需要的 pw.txtpw_change.txt 这两个文件的内容,其内容具体取决于如下某些命令。


pw.txt

  • Getting the current status - 获取当前状态
  • Get the paths which are backed up during file backups - 获取文件备份时备份的路径
  • Get the incremental file backup interval - 获取增量文件备份间隔
  • Start backups - 开始备份
  • Pause backups - 暂停备份


pw_change.txt

  • Change the paths which are backed up during file backups - 更改文件备份期间备份的路径
  • Get all settings - 获取所有设置
  • Change all settings - 更改所有设置
  • Get log entries/logs - 获取日志条目/日志
  • Accept a new server - 接受新服务器


默认情况下,只有特权用户可以访问 pw_change.txt

在 Windows 上,这会导致访问 pw_change.txt 内容会提示需要提升到管理员权限。

如果你不想让让提升权限的窗口老跳出来,请禁用 UAC 或更改 pw_change.txt 的访问权限以允许非特权用户读取访问。

客户端核心进程从它接受了指令并允许通过 server_idents.txt 中所描述的下载文件后就保存了服务器凭据。

server_idents.txt 文件中每行一个凭据,同时服务器的公钥也保存在其中。


如果想要手动将服务器添加到 server_idents.txt 中,则需要删除 server_ident.key 文件末尾前置的 #I#

UrBackup 在安装完成时 server_idents.txt 并不存在,之后客户端核心进程才接受(并添加)它看到的第一台服务器(使用服务器的公钥)。

在此之后,客户端不会接受具有不同凭据的其他服务器,并且一旦客户端检测到新服务器,则需要手动添加它们的凭据,或者通过单击弹出窗口来操作。

这可以防止其他人访问你想在公共场所备份的文件。

如果你想让多台服务器能够对一台客户端进行备份,那么你可以有两种选择。

要么,你手动向客户端提供服务器凭据(通过将凭据复制到 server_idents.txt 中),要么,通过复制相同的 server_ident.keyserver_ident_ecdsa409k1.privserver_ident_ecdsa409k1.pub 这三个文件为所有服务器提供相同的凭据。


5.4 传输安全

从客户端到服务器的数据传输在本地网络上是未加密的,允许窃听攻击恢复备份数据的内容。

考虑到这一点,你应该只在受信任的本地网络中使用 UrBackup

请注意,如果没有采取任何措施来防止这种情况,那么在本地网络中流量被重定向则非常容易。


5.5 广域网模式安全

广域网模式使用增强身份验证和加密。

三次握手通过使用一个共享密钥以及基于 SHA512 的迭代次数为 20000PBKDF2-HMAC 加密算法完成。

数据使用 AES-GCM 加密和验证。

此外,通过服务器身份密钥和 ECDSA 私钥/公钥身份验证来完成本地网络服务器的身份验证。


墙裂推荐 PDF 付费版本:《UrBackup Server 2.4.x 管理手册中文版(网管小贾高级进阶版)》

<关注网管小贾微信公众号,发送 000946 获取>


扫码关注@网管小贾,个人微信:sysadmcc

网管小贾 / sysadm.cc



暂无评论

登录并提交评论

© 2020-present 网管小贾 | 微信公众号 @网管小贾
许可协议:CC-BY-NC 4.0 | 转载文章请注明作者出处及相关链接