Felix.Schwarz
23.08.05, 13:43
Vorbemerkung:
Ich gehöre weder dem Bacula-Projektteam noch der EFF an, sondern bin nur ein Bacula-User, der versucht, etwas Aufmerksamkeit auf dieses IMHO unterstützenswerte Projekt zu lenken. Dieser Text ist auch online verfügbar:
http://www.felix-schwarz.name/Bacula_Data_Encryption_Project_Sponsoring
Ich halte dieses Projekt auch für Serverbetreiber wie uns sehr interessant, weil man damit Bacula dann auch für Serverbackups nutzen kann, selbst wenn man dem Storage-Provider (IPX FTP-Space, Backup-Tausch) nicht völlig vertraut.
Regelmäßige und vollständige Backups sind der einzige wirkungsvolle Schutz gegen Datenverlust. Für Firmen und Selbstständige ist Datensicherung überlebensnotwendig. Ein Festplatten-Crash kann hier binnen Sekunden eine mühsam aufgebaute Existenz zerstören.
Was aber, wenn das Vorhandensein von Backups selbst zum Problem wird?
In einer Datensicherung sind eigentlich immer viele eigentlich geheime bzw. private Daten enthalten: Rechnungen, Bilanzen, Mails, Passwörter. Entsprechend muss man auch die Sicherungsmedien (z.B. Magnetbänder, Festplatten usw.) mindestens genauso schützen wie die eigentlichen Systeme, auf denen die Daten im Normalbetrieb aufbewahrt werden.
Da aber Backupmedien häufiger transportiert bzw. oft auch schlecht geschützt werden, werden Backups zum Ziel von Datendieben. Zwei Vorfälle aus jüngster Zeit demonstrieren die Risiken, denen Backups ausgesetzt sind:
Time Warner vermisst 600.000 Personal-Datensätze (http://www.heise.de/newsticker/meldung/59235)
US-Bank vermisst Backup-Bänder mit 1,2 Millionen Kreditkarten-Datensätzen (http://www.heise.de/newsticker/meldung/56836)
Ein interessanter Ansatz, um Backups zu schützen, ist Verschlüsselung: Die gesicherten Daten werden mit erprobten Verfahren verschlüsselt (z.B. AES, RSA, ...). Ein Diebstahl des Backups ist nicht weiter dramatisch, weil es keine Möglichkeit gibt, an die eigentlichen Daten heranzukommen, ohne den Schlüssel zu besitzen. Bei asymmetrischer Verschlüsselung (z.B. RSA) kann der geheime Schlüssel auch nur auf einem externen Medium wie z.B. USB-Stick oder SmartCard gespeichert werden, was die Sicherheit weiter erhöht.
Bacula (http://www.bacula.org) ist eine Sammlung von Open Source-Programmen, um Datensicherung und -wiederherstellung in einem möglicherweise heterogenen Netzwerk zu verwalten. Natürlich werden die üblichen Backup-Medien wie Bandlaufwerke und Festplatten sowie Bandroboter unterstützt.
Durch das modulare Design skaliert das System von einzelnen Rechnern bis zu großen Netzwerken mit hunderten Systemen. Im Unterschied zu anderen Programmen wird bei Bacula auf jedem zu sichernden System eine Clientsoftware installiert. Dadurch können mehr Metadaten gesichert werden (ACLs, Streams bzw. Ressource Forks auf Windows/MacOS X) als z.B. bei einer SMB- oder NFS-Freigabe (obwohl auch das natürlich möglich ist). Außerdem können auch plattformspezifische Erweiterungen wie z.B. Volume Shadow Copy (ab Windows XP) verwendet werden.
Über Bacula gab es auch im Linux-Magazin (http://www.linux-magazin.de/Artikel/ausgabe/2005/06/bacula/bacula.html) kürzlich einen ausführlichen Artikel:
Bislang gibt es in Bacula noch nicht die Möglichkeit, Backups zu verschlüsseln.
Landon Fuller hat sich bereit erklärt, dieses Feature in Bacula zu implementieren, allerdings unter der Vorbedingung, dass 3000 US-$ an die Electronic Frontier Foundation (http://www.eff.org) gespendet werden. Bislang sind 1225 $ zusammengekommen (meine Spende von 60 $ ist noch nicht erfasst). Der aktuelle Stand der Spendensammlung (http://www.bacula.org/?page=news) ist auch online dokumentiert.
Landon Fuller hat bereits die TLS-Verschlüsselung der Kommunikation zwischen den Bacula-Daemons implementiert. Einige Design-Überlegungen für das Data Encryption Project finden sich auf der Bacula-Users-Mailingliste (http://sourceforge.net/mailarchive/forum.php?thread_id=7956994&forum_id=8833).
Ich möchte daher dazu aufrufen, das Projekt (und die EFF) zu unterstützen (http://sourceforge.net/mailarchive/forum.php?thread_id=7824965&forum_id=8790). Wie das genau geht, hat Kern Sibbald auf der Mailingliste beschrieben.
Leider ist für die Spende eine Kreditkarte bzw. Paypal notwendig. Wer spenden möchte, aber keine Kreditkarte besitzt, sollte sich auf jeden Fall trotzdem erst mal bemerkbar machen (bacula-users Mailingliste oder einfach im Forum), dann findet sich bestimmt eine Möglichkeit.
fs
Ich gehöre weder dem Bacula-Projektteam noch der EFF an, sondern bin nur ein Bacula-User, der versucht, etwas Aufmerksamkeit auf dieses IMHO unterstützenswerte Projekt zu lenken. Dieser Text ist auch online verfügbar:
http://www.felix-schwarz.name/Bacula_Data_Encryption_Project_Sponsoring
Ich halte dieses Projekt auch für Serverbetreiber wie uns sehr interessant, weil man damit Bacula dann auch für Serverbackups nutzen kann, selbst wenn man dem Storage-Provider (IPX FTP-Space, Backup-Tausch) nicht völlig vertraut.
Regelmäßige und vollständige Backups sind der einzige wirkungsvolle Schutz gegen Datenverlust. Für Firmen und Selbstständige ist Datensicherung überlebensnotwendig. Ein Festplatten-Crash kann hier binnen Sekunden eine mühsam aufgebaute Existenz zerstören.
Was aber, wenn das Vorhandensein von Backups selbst zum Problem wird?
In einer Datensicherung sind eigentlich immer viele eigentlich geheime bzw. private Daten enthalten: Rechnungen, Bilanzen, Mails, Passwörter. Entsprechend muss man auch die Sicherungsmedien (z.B. Magnetbänder, Festplatten usw.) mindestens genauso schützen wie die eigentlichen Systeme, auf denen die Daten im Normalbetrieb aufbewahrt werden.
Da aber Backupmedien häufiger transportiert bzw. oft auch schlecht geschützt werden, werden Backups zum Ziel von Datendieben. Zwei Vorfälle aus jüngster Zeit demonstrieren die Risiken, denen Backups ausgesetzt sind:
Time Warner vermisst 600.000 Personal-Datensätze (http://www.heise.de/newsticker/meldung/59235)
US-Bank vermisst Backup-Bänder mit 1,2 Millionen Kreditkarten-Datensätzen (http://www.heise.de/newsticker/meldung/56836)
Ein interessanter Ansatz, um Backups zu schützen, ist Verschlüsselung: Die gesicherten Daten werden mit erprobten Verfahren verschlüsselt (z.B. AES, RSA, ...). Ein Diebstahl des Backups ist nicht weiter dramatisch, weil es keine Möglichkeit gibt, an die eigentlichen Daten heranzukommen, ohne den Schlüssel zu besitzen. Bei asymmetrischer Verschlüsselung (z.B. RSA) kann der geheime Schlüssel auch nur auf einem externen Medium wie z.B. USB-Stick oder SmartCard gespeichert werden, was die Sicherheit weiter erhöht.
Bacula (http://www.bacula.org) ist eine Sammlung von Open Source-Programmen, um Datensicherung und -wiederherstellung in einem möglicherweise heterogenen Netzwerk zu verwalten. Natürlich werden die üblichen Backup-Medien wie Bandlaufwerke und Festplatten sowie Bandroboter unterstützt.
Durch das modulare Design skaliert das System von einzelnen Rechnern bis zu großen Netzwerken mit hunderten Systemen. Im Unterschied zu anderen Programmen wird bei Bacula auf jedem zu sichernden System eine Clientsoftware installiert. Dadurch können mehr Metadaten gesichert werden (ACLs, Streams bzw. Ressource Forks auf Windows/MacOS X) als z.B. bei einer SMB- oder NFS-Freigabe (obwohl auch das natürlich möglich ist). Außerdem können auch plattformspezifische Erweiterungen wie z.B. Volume Shadow Copy (ab Windows XP) verwendet werden.
Über Bacula gab es auch im Linux-Magazin (http://www.linux-magazin.de/Artikel/ausgabe/2005/06/bacula/bacula.html) kürzlich einen ausführlichen Artikel:
Bislang gibt es in Bacula noch nicht die Möglichkeit, Backups zu verschlüsseln.
Landon Fuller hat sich bereit erklärt, dieses Feature in Bacula zu implementieren, allerdings unter der Vorbedingung, dass 3000 US-$ an die Electronic Frontier Foundation (http://www.eff.org) gespendet werden. Bislang sind 1225 $ zusammengekommen (meine Spende von 60 $ ist noch nicht erfasst). Der aktuelle Stand der Spendensammlung (http://www.bacula.org/?page=news) ist auch online dokumentiert.
Landon Fuller hat bereits die TLS-Verschlüsselung der Kommunikation zwischen den Bacula-Daemons implementiert. Einige Design-Überlegungen für das Data Encryption Project finden sich auf der Bacula-Users-Mailingliste (http://sourceforge.net/mailarchive/forum.php?thread_id=7956994&forum_id=8833).
Ich möchte daher dazu aufrufen, das Projekt (und die EFF) zu unterstützen (http://sourceforge.net/mailarchive/forum.php?thread_id=7824965&forum_id=8790). Wie das genau geht, hat Kern Sibbald auf der Mailingliste beschrieben.
Leider ist für die Spende eine Kreditkarte bzw. Paypal notwendig. Wer spenden möchte, aber keine Kreditkarte besitzt, sollte sich auf jeden Fall trotzdem erst mal bemerkbar machen (bacula-users Mailingliste oder einfach im Forum), dann findet sich bestimmt eine Möglichkeit.
fs