Directadmin SFTP backup

Vraag

dinsdag 3 januari 2017 00:26

Acties:

0 Henk 'm!

Topicstarter

Allereerst de beste wensen voor iedereen :)!
Ik heb een centos server als webserver draaien met daarop Directadmin geïnstalleerd. De server maakt nu backups via FTP naar een externe locatie, maar aangezien dit niet veilig genoeg is en we zodra we overgaan op productie (Nu zitten we in testfase), willen we graag backups maken via SFTP.

Op de externe server (Ubuntu) draait alles al naar behoren, en kun je ook verbinden via SFTP.

Mijn vraag
Hoe kan ik via directadmin backups maken naar een SFTP server. Op dit moment zie ik enkel de mogelijkheid voor FTP.

Relevante software en hardware die ik gebruik
Webserver met CentOS 6.8 & DirectAdmin 1.50.1
Backup server met Ubuntu 16.10

Alvast bedankt!

Alle reacties

dinsdag 3 januari 2017 00:31

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Heb je hier wat aan? Je moet het wel zelf nog ombouwen naar sftp.

https://help.directadmin.com/item.php?id=111

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

dinsdag 3 januari 2017 00:32

Acties:

0 Henk 'm!

Rik.

Topicstarter

Die pagina had ik inderdaad gezien. Het ombouwen naar SFTP is meer het probleem eigenlijk...
Dit ben ik vergeten te vermelden, excuses.

dinsdag 3 januari 2017 00:36

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Voor het PHP-script wat ze gebruiken bestaan er een hoop handige PHP-functies:
http://php.net/manual/en/function.ssh2-sftp.php

☎ Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

dinsdag 3 januari 2017 10:33

Acties:

0 Henk 'm!

DJMaze

Gebruik een cronjob met rsync en een ssh key?

Backup server

code:

1	rsync --stats -auPF server@example.com:/home/ /home/backups/server

Server /home/.rsync-filter

code:

1 2	- //cache/ - //logs/

[ Voor 72% gewijzigd door DJMaze op 03-01-2017 10:39 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 3 januari 2017 11:24

Acties:

0 Henk 'm!

Rik.

Topicstarter

Rsync zou kunnen, maar dat kan niet met de ingebouwde backup module in directadmin toch? En dan lijkt terugzetten mij dus ook lastiger dan met de ingebouwde module.

dinsdag 3 januari 2017 12:13

Acties:

0 Henk 'm!

tim427

Turbulence!

Je kunt toch ook gebruik maken van FTPS (FTP over SSL)?

dinsdag 3 januari 2017 13:06

Acties:

0 Henk 'm!

Rik.

Topicstarter

Daar had ik eerlijk gezegd nog niet over nagedacht. Ik ga dat eens uitproberen.
SFTP vond ik makkelijker omdat dit volgens mij een stuk minder configuratiewerk was..

dinsdag 3 januari 2017 13:34

Acties:

0 Henk 'm!

Rik.

Topicstarter

Inmiddels staat ftps geconfigureerd, ik kan zelf via winscp ook inloggen d.m.v. ftps. Via directadmin gaat dit alleen nog niet goed en krijg ik de volgende melding:

Error during Cron Modification

Details
/usr/bin/curl returned error code 9
curl: (9) NSS: client certificate not found (nickname not specified)
FTP informatie is foutief.

dinsdag 3 januari 2017 14:16

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Op grond van die foutmelding is mijn eerst idee dat het klinkt alsof je authenticatie op grond van SSL-certificaten hebt aangezet. In plaats van een wachtwoord moet je client dan een bepaald SSL-certificaat hebben.

Ik heb de lijst met curl-foutmeldingen er even bij gepakt (https://curl.haxx.se/libcurl/c/libcurl-errors.html) en daar staat:

CURLE_REMOTE_ACCESS_DENIED (9)

We were denied access to the resource given in the URL. For FTP, this occurs while trying to change to the remote directory.

Uit ervaring weet ik dat meldingen over client-certificaten 9/10 keer misleidend zijn en dat het probleem eigenlijk ergens anders zit. Kijk dus even of deze informatie je op het goede pad helpt, maar bijt je niet te hard vast op client-certificaten.

Voor de duidelijkheid, waar komt je SSL-certificaat vandaan? Heb je het zelf aangemaakt of is het een "echt" certificaat? Kan je client het verifieren? (Als je een "self signed" certificate hebt dan moet je de bijhorende files ook op je client installeren).

[ Voor 14% gewijzigd door CAPSLOCK2000 op 03-01-2017 14:20 ]

This post is warranted for the full amount you paid me for it.

dinsdag 3 januari 2017 14:23

Acties:

0 Henk 'm!

Rik.

Topicstarter

Dit is wat ik heb ingesteld:

rsa_cert_file=/etc/ssl/private/vsftpd.pem
rsa_private_key_file=/etc/ssl/private/vsftpd.pem
ssl_enable=YES
allow_anon_ssl=NO
force_local_data_ssl=YES
force_local_logins_ssl=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
require_ssl_reuse=NO
ssl_ciphers=HIGH

Het certificaat is openssl, aangemaakt met een command via een tutorial.

dinsdag 3 januari 2017 20:22

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ja, en daar valt curl dus over: self-signed certificaat. Uit de manpage:

code:

       -k, --insecure
              (SSL)  This  option explicitly allows curl to perform "insecure" SSL connections and transfers. All SSL connections are attempted to
              be made secure by using the CA certificate bundle installed by default. This makes all connections considered "insecure" fail unless
              -k, --insecure is used.

              See this online resource for further details: https://curl.haxx.se/docs/sslcerts.html

Omdat het 'root' certificaat er niet is, faalt curl dus.

In je vorige topic gaf ik al aan dat je direct naar SFTP moest gaan, maar je wilde persé plain FTP werkend hebben. Nu loop je dus tegen dit soort dingen aan op het moment dat je naar productie wilt ermee.

Ik ga met DJMaze mee, gebruik rsync over SSH.

Commandline FTW | Tweakt met mate

dinsdag 3 januari 2017 20:55

Acties:

0 Henk 'm!

Rik.

Topicstarter

Ik wilde toen plain FTP werkend als testmethode. We zijn op dit moment dus aan het testen met SFTP. Hetgeen wat uiteindelijk het beste bevalt gaat de definitieve methode worden.
Het liefst natuurlijk SFTP, daarom probeer ik dit dus ook werkend te krijgen..

Waar in directadmin kan ik instellen dat hij self signed mag gebruiken (of juist dat certificaat toevoegen aan directadmin)?

dinsdag 3 januari 2017 20:58

Acties:

0 Henk 'm!

DJMaze

SFTP != FTPS
Ga nou niet een SSL proberen op SFTP. Dat werkt niet.

SFTP = SSH FTP
FTPS = FTP SSL
rsync = SSH (je hebt dan een login nodig, liefst met een public/private key!!!)

[ Voor 28% gewijzigd door DJMaze op 03-01-2017 21:01 ]

Maak je niet druk, dat doet de compressor maar

dinsdag 3 januari 2017 22:08

Acties:

0 Henk 'm!

tim427

Turbulence!

Als je een FTPS (lees; FTP over SSL) servertje opzet met user+pass authenticatie, kun je dit direct via Directadmin laten regelen.

Voordelen; DA maakt tijdelijk op de HDD de backup ZIP-files, pompt ze naar de andere kant en verwijderd ze lokaal. Als je de remote-server ook enkel en alleen jouw IP allowed, heb je ook geen last van brute force attacks en is tegelijkertijd je data versleuteld d.m.v. SSL.

Andere optie (als je perse SFTP (lees; Secure File Transfer Protocoll)): lokaal je backup maken en met een CRON-job die bestanden overpompen. Of je hier nou SCP of RSync gebruikt is beetje om het even.

Lijkt mij de "standaard optie" het meest elegant is. Je hebt namelijk geen apparte scriptjes te onderhouden.

dinsdag 3 januari 2017 23:43

Acties:

0 Henk 'm!

Rik.

Topicstarter

Ik ga dus voor FTPS, ik dacht dat ik dit al juist geconfigureerd had, maar hij verplicht nu dus een SSL certificaat als ik het goed heb?

Heeft iemand een goede handleiding voor het juist configureren van FTPS?
Het enkel IP toestaan van webserver is niet mogelijk, aangezien wij vanaf verschillende locaties bij de bestanden moeten kunnen omdat er ook data van andere servers opgeslagen word op de backup server. Het is natuurlijk mogelijk om met een VPN te gaan werken, maar dat is iets voor later.

dinsdag 3 januari 2017 23:52

Acties:

0 Henk 'm!

Yarisken

Hmm ik was me overlaatst aan het inlezen over ansible. Kan je niet deze tutorial is volgen:
http://www.linuxtechi.com...-use-ansible-in-centos-7/
Je installeert ansible, genereert ssh keys, pushed die met ansible naar je backup server en dan zoek je de command om een copy te doen.
Zet een cronjob op en klaar.
Misschien wat overkill allemaal :-).

woensdag 4 januari 2017 10:00

Acties:

0 Henk 'm!

DJMaze

Rik. schreef op dinsdag 3 januari 2017 @ 23:43:
maar hij verplicht nu dus een SSL certificaat als ik het goed heb?

Simpel: Koop een SSL certificaat
Lastiger: DirectAdmin updaten en Let's Encrypt activeren (yep, er zijn bugs).

Maak je niet druk, dat doet de compressor maar

woensdag 4 januari 2017 10:57

Acties:

0 Henk 'm!

Rik.

Topicstarter

In directadmin heb ik Lets Encrypt al, maar die heb ik natuurlijk niet aan de backup server kant...

woensdag 4 januari 2017 21:37

Acties:

0 Henk 'm!

tim427

Turbulence!

Rik. schreef op dinsdag 3 januari 2017 @ 23:43:
Het enkel IP toestaan van webserver is niet mogelijk, aangezien wij vanaf verschillende locaties bij de bestanden moeten kunnen omdat er ook data van andere servers opgeslagen word op de backup server.

Dan voeg je toch al die locaties toe?

Betreft certificaat; wat is nou exact het probleem? Je zou inderdaad LetEncrypt ook aan de andere kant kunnen installeren, of zelf een self-signed certificaat en zorgen dat die "trusted" is door het certificaat ook in je ca-store te zetten.
"sudo cp foo.crt /usr/local/share/ca-certificates/foo.crt" en "sudo update-ca-certificates"

Zolang die FTP-server niet voor Jan en alleman bedoelt is, is het prima om je eigen SSL-trust op te zetten.

Heb je duidelijkere error/warnings? Uit log-files? Met je FileZilla werkt het wel probleemloos?

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties