Zusammenfassung

Beschreibung für die Einstellung eines Verschlüsselten Backups mit Bareos.

(Warnung) Wenn dies nicht korrekt eingestellt wird, kann unter Umständen auch kein Restore mehr gemacht werden.


Diese Anleitung richtet sich besonders an folgende Zielgruppen: -Nicht zutreffende Zielgruppen bitte löschen-

  • Mitarbeitende


Transport-Verschlüsselung

Bei einen aktuellen Client (ab Version 19) ist die Transportverschüsselung der Backups automatisch aktiviert. Damit wird die komplette Kommunikation zwischen Client und Server verschlüsselt.

Daten-Verschlüsselung

Wenn die gesicherten Daten verschlüsselt werden müssen, ist besondere Vorsicht geboten, damit diese auch wieder gelesen werden können. Sinnvoll ist eine Datenverschlüsselung nur, wenn diese auf dem Client passiert und somit weiß der Server nur noch die Metadaten (Dateinamen, Größe, ...). Eine Wiederherstellung ist dann nur auf Clients möglich, an dehnen der entsprechend passende Private Schlüssel eingebunden ist. Somit muss der öffentlichen und private Schlüssel gesondert gesichert werden.

https://docs.bareos.org/TasksAndConcepts/DataEncryption.html#dataencryption

Client Konfiguration

Damit die Daten vom Client verschlüsselt werden, muss dort ein Zertifikat existieren. Da es bei der DFN-CA nur noch Zertifikate mit 1 Jahr Laufzeit gibt, was sich für Verschlüsselung für Backups nicht so gut eignet wird nun doch die Verwendung von selbstsignierten Zertifikaten empfohlen. Es müssen dann der öffentliche (public) und der geheime (private) Schlüssel (Key) in einer Datei gespeichert werden, wobei nur root-Leserechte benötigt:

openssl genrsa -out fd-example.priv.key 2048
openssl req -new -key fd-example.priv.key -x509 -out fd-example.pub.key -days 1826
# DE, Thueringen, Jena, Friedrich-Schiller-Universitaet Jena, URZ, example.rz.uni-jena.de
cat fd-example.priv.key fd-example.pub.key >/etc/bareos/fd-example.pem
 
cd /etc/bareos/
chmod 400 example-fd.pem
ls -l example-fd.pem
# -r-------- 1 root root 3814 May 20 2016 example-fd.pem
 
curl https://repo.rz.uni-jena.de/backupmaster.pem >backupmaster.pem

Wenn nur der public-Key gespeichert wird geht der Restore logischerweise nicht. Wir sorgen dafür, das der (private) Backup-Master-Key entsprechend geschützt ist, der public-Key des Backup-Masters liegt hier: https://repo.rz.uni-jena.de/backupmaster.pem
/etc/bareos/bareos-fd.d/client/myself.conf

Client {
...
  ## encryption configuration
  PKI Signatures = Yes                              # Enable Data Signing
  PKI Encryption = Yes                              # Enable Data Encryption
  PKI Keypair = "/etc/bareos/fd-myclient.pem"       # Public and Private Keys
  PKI Master Key = "/etc/bareos/backupmaster.pem"   # ONLY the Public Key
  PKI Cipher = aes256                               # specify desired PKI Cipher here
}


(Warnung) Achtung! Wer seine Daten verschlüsselt, dem kann bei Schlüsselverlust nur geholfen werden, wenn der Master-Key Backupmaster-Key mit eingetragen wird. (Warnung)

Backupmaster Zertifikat

Da die Zertifikate vom DFN nur noch 1 Jahr gültig sind, wird nun ein unabhängiges mit langer Laufzeit für den Backup-Master erzeugt.
Eigenschaften des Backupmaster Keys

openssl x509 -in backupmaster-2021.pem -text
 
Certificate:
...
        Serial Number:
            3d:d0:61:b4:91:6b:6b:2e:5f:ff:a7:f1:83:f3:da:64:64:b4:44:aa
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = DE, ST = Thueringen, L = Jena, O = Friedrich-Schiller-Universitaet Jena, OU = URZ, CN = backupmaster.rz.uni-jena.de, emailAddress = thomas.otto@uni-jena.de
        Validity
            Not Before: Apr  7 13:08:47 2021 GMT
            Not After : Apr  5 13:08:47 2031 GMT
        Subject: C = DE, ST = Thueringen, L = Jena, O = Friedrich-Schiller-Universitaet Jena, OU = URZ, CN = backupmaster.rz.uni-jena.de, emailAddress = thomas.otto@uni-jena.de
...



backupmaster-2021.pem

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----




Titel: "Verschlüsselte Backups mit Bareos"

Stand: 23.11.2021