AWS S3 Buckets auf IP Adressen einschränken

Die ersten Gehversuche mit Restic Backups sind recht erfolgversprechend. Bisher ist der lokale Server oder ein Hetzner FTP Server das Ziel.

Für einige kleinere Server nutze ich das hier beschriebene Verfahren mit Amazon S3 Storage.

Um neben der Einschränkung über ID/Password eine zusätzliche Barriere einzurichten habe ich die dort beschriebene Policy noch um den Parameter IP Adresse erweitert. Damit es es nur noch möglich vom zu sichernden Rechner auf das Backup Medium zuzugreifen.

Da man dies über die Webverwaltung ändern kann könnten man im Fall der Fälle dies auch abschalten und dann von einem anderen Rechner auf das Backup zugreifen.

 "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "wwww.xxx.yyy.zz"
                }
            }

Blutspenden

Heute stand es weder auf dem Terminkalender

Wann geht Ihr (wieder)?

Jahresabschluss Surfen

Schon seit Ende der letzten Woche habe ich immer wieder auf die Windvorhersage für Brouwserdam geschaut.

Gestern wurden dann kurz entschlossen ein Surfausflugbeschluss gefasst.

Und schon wegen dem heutigen Nachmittag hat sich das wirklich gelohnt. Morgen früh geht es dann noch mal auf das Wasser und dann aber wieder nach Hause.

Beagle wissen schon was gut ist

Wer findet den Fehler?

Links der Stuhl mit der bekannten und gewohnten Hundedecke. Rechts ein Stuhl mit einer weichen Wollstola meiner Liebsten.

pfSense Certificate

Zwei sehr interessante und anstrengende Schulungstage bei netgate und einen Test später.

Thunderbird: Text only zeigt keine Attachments

für alle die sich im Thunderbird die Mails als reinen Text anzeigen lassen die Warnung. Es wird in einer Mail auch nicht angezeigt wenn ein Anhang an der Mail hängt.

Also wenn Ihr eine Mail bekommt in der von einem Anhang die Rede ist einmal kurz in die HTML Ansicht wechseln.

Die Wahlergebnisse

Wir werden sehen ob diese Wahl ein “Ausrutscher” war oder eine Zeitenwende. Hoffen wir ersteres.

Kriegserklärungen per Twitter (Teil2)

Und er macht weiter mit seinen Kriegsdrohungen.

Der Präsident der Vereinigten Staaten von Amerika pfeift seinen Außenminister zurück wenn der versucht auf diplomatischem Wege eine Krise zu entschärfen.

Wenn demnächst ein Kampfjet der USA vor Nordkorea abgeschossen wird dann kann ich das verstehen.

So sad.

Erntedankfest

Der Tag für den bei mir immer der Herbst beginnt und der einen auch an viele Verpflichtungen erinnert.

Backups mit restic

Ich habe in der letzten Zeit viel gutes über das Backup Verfahren restic gelesen (z.B. hier. Meine bisherigen Verfahren waren etwas unterschiedlich und restic scheint hier alle Anforderungen abzudecken.

Hier meine Notizen für die Installation auf einem Debian 9 Backup Server

Installation von Go und restic

Zuerst die Installation von Go in der Version 1.8 auf meinem Debian 9 Server

sudo apt-get install git golang-1.8-go
export GOROOT=/usr/lib/go-1.8
export PATH=$GOROOT/bin:$PATH
go version go1.8.1 linux/386

Das restic Programm aus dem Github Repo ziehen und kompilieren

mkdir tmp
cd tmp
git clone https://github.com/restic/restic
cd restic
go run build.go
cp restic /usr/bin
restic version
   restic 0.7.3 (v0.7.3-79-gac92e2dd)
   compiled with go1.8.1 on linux/386

Backup Routine

Mein Ziel ist es, verschiedene Server mit verschiedenen Verzeichnissen zu sichern. Damit das ganze übersichtlich bleibt lege ich eine Datei mit den “zu ignorierenden” Verzeichnissen an und für jeden Server eine eigne Datei mit “zu sichernden” Dateien. Hier ist darauf zu achten das es bei den Verzeichnissen oder Dateien kein Leerzeichen am Ende gibt.

Das Kennwort halte ich in einer eigenen Datei. Zuerst diese Datei erstellen und das Repository erstellen

 echo supersecretpassword > /root/restic/repopassword.txt
 chmod 400 /root/restic/repopassword.txt 
 restic -r /backup/restic init
 enter password for new backend: 
 enter password again: 
 created restic backend c828c80164 at /backup/restic
 
 Please note that knowledge of your password is required to access
 the repository. Losing your password means that your data is
 irrecoverably lost.

Auf Basis dieses Beitrags habe ich für den Aufruf das folgende Script erstellt.

 #!/bin/bash
 RESTIC_PASSWORD_FILE=/root/restic/repopassword.txt
 RESTIC_REPOSITORY=/backup/restic
 RESTIC_EXCLUDELIST=/root/restic/excludelist.txt
 RESTIC_BACKUP_SERVER1=/root/restic/backup-list-server-1.txt
 
 
 /usr/bin/restic -r $RESTIC_REPOSITORY -p $RESTIC_PASSWORD_FILE backup --files-from $RESTIC_BACKUP_SERVER1 --exclude-file $RESTIC_EXCLUDELIST
 
 /usr/bin/restic -r $RESTIC_REPOSITORY -p $RESTIC_PASSWORD_FILE forget --keep-daily 7 --keep-weekly 5 --keep-monthly 12 --keep-yearly 10

Debian: Missing Firmware bei der Installation

Bei der Installation von Debian kann es vorkommen das ein Treiber fehlt. Dann ist dieser typischerweise nicht unter den Debian konformen Lizenzen veröffentlicht und deshalb nicht “im Standard” dabei.

z.b. diese Meldung.

 Possible missing firmware /lib/firmware/bnx2/bnx2-mips-09-6... 

Das habe ich so gelöst das ich mir zuerst die notwendigen Treiber auf einen vorhandenen Rechner installiert habe und diesen dann über USB Stick an den neuen Rechner kopiert habe.

    sudo vi /etc/apt/sources.list
        deb http://ftp.de.debian.org/debian stretch main non-free
    
    sudo apt update
    sudo apt install firmware-bnx2        
    cd /lib/firmware/
    cp -r bnx2 /media/hbauer/ubstick/

Dann hat der neue Rechner den bnx2 Treiber schön eingebunden und die Installation lief durch. Die Namen für den Treiber müssen natürlich auf den “fehlenden” Treiber angepasst werden.