CHOROBA: tomu jsem se chtěl vyhnout právě :-) A Ansible ansible.builtin.package mi dal naději ...

Pomocí Ansible potřebuju přidat repository a nainstalovat package - ovšem nezávisle na druhu Linuxu. Zatím mi to procházelo, protože stroje byly buď Debian nebo Ubuntu (tj. APT), ale teď se mi tam připletly do cesty nějaké CentOS.

Nainstalovat nezávisle package jde přes ansible.builtin.package u nových verzí Ansible. Ale přidat repository nezávisle na tom, jestli je to třeba yum nebo apt netuším.

ok :D s tim si poradim, ale zkusim jeste jednu otazku, pouziva nekdo pki encryptaci v bacule? Kdyz nastavim tohle do konfigu bacula-fd

PKI Signatures = Yes
PKI Encryption = Yes
PKI Keypair = "/etc/bacula/keys/test.pem"
PKI Master Key = "/etc/bacula/keys/master.cert"

tak ty data to sice asi zasifruje, ale pri pokusu o restore to vyblije do logu


zkousel jsem xy x pregenerovat klice, odebrat z klicu fraze etc., zmenit cestu kam to ma provest ten restore, ale chyba porad stejna...

CHOROBA: jo, to sem moh napsat rovnou sry

bacula-hw - storage kde bezi proxmox, na tom:
vm bacula-dir - director baculy
vm bacula-sd - storage daemon, kde mam mountnuty raid
vm bacula-sd (s3) - storage daemon, kde je s3fs mount do aws jako offside backup, (+ v aws img os bacula-dir, jako ec2 instanci)

na directoru mam configy v jednom fajlu v /servers

@|"sh -c 'cat /etc/bacula/schedules/*.conf'"
@|"sh -c 'cat /etc/bacula/jobdefs/*.conf'"
@|"sh -c 'cat /etc/bacula/servers/*.conf'"

nejak takhle...

Client {
Name = cli-xxx
Address = xxx
FDPort = 9102
Catalog = bacula
Password = "xxx"
File Retention = 125 days
Job Retention = 6 months
AutoPrune = yes
}

FileSet {
Name = "fs-xxx"
Include {
Options {
signature = MD5
compression = GZIP
WildDir = "*/.logs"
Exclude = yes
}
File = /var/xxx
File = /opt/xxx
File = /opt/backup-bacula/xxx
}
}

Job {
Name = "job-xxx"
JobDefs = "JobFullAt2"
Client = "cli-xxx"
FileSet = "fs-xxx"
Pool = "pool-incremental-xxx"
Full Backup Pool = "pool-full-xxx"
Allow Mixed Priority = yes
Differential Backup Pool = "pool-differential-xxx"
Storage = "sto-xxx"
Client Run Before Job = "/usr/local/bin/pre_script.sh"
Client Run After Job = "/usr/local/bin/post_script.sh"
}

Job {
Name = "res-xxx"
Type = Restore
Client = "cli-xxx"
FileSet = "fs-xxx"
Storage = "sto-xxx"
Where = /tmp/bacula-restores
Messages = Standard
Pool = Default
}

Pool {
Name = "pool-full-xxx"
Pool Type = Backup
Recycle = yes
AutoPrune = yes
Volume Retention = 63 days
Use Volume Once = yes
Maximum Volumes = 5
LabelFormat = "FB-xxx-"
# Maximum Volume Bytes = 100G
}

Pool {
Name = "pool-incremental-xxx"
Pool Type = Backup
Recycle = yes
AutoPrune = yes
Volume Retention = 59 days
Use Volume Once = yes
Maximum Volumes = 60
LabelFormat = "IB-xxx-"
}

Pool {
Name = "pool-differential-xxx"
Pool Type = Backup
Recycle = yes
AutoPrune = yes
Volume Retention = 59 days
Maximum Volumes = 11
Use Volume Once = yes
LabelFormat = "DB-xxx-"
}

Storage {
Name = "xxx"
Address = xxx
SDPort = 9103
Device = "xxx"
Media Type = File
Maximum Concurrent Jobs = 3
Password = "xxx"
}

a vsechno co je nejak kriticka vec, tak ma na bacula-dir v /servers druhy konfig pro bacula-sd (s3), takze se pro to spousti fakticky dva joby v rozdilnych intervalech, s rozdilnou retenci, kazdy na jinou storage...

jedete tu nekdo nixos ?
NixOS - NixOS Linux
https://nixos.org/

INDIAN: jo, to jsem koukal, spis jestli to nahodou nekdo nepouziva prakticky a nepostrcil by me jak to idealne navrhnout tak, aby to odpovidalo tomu, jak to mam reseny...

VESNACH: vidim ze na githubu je podobnejch projeektu nekolik

nenavedl by me nekdo, jak optimalne z "ansiblovat" instalaci bacula-fd + vytvoreni konfigu na dir a sd serveru? Do ted jsme to resil scriptem, ale chtel bych to udelat hezci...

QUIP: jj, nakonec jsem to vyřešil rsyncem pouštěným z virtuálky, který se připojí k certifikační proxy pod non-root userem, který má v home nalinkované soubory ...

MAJA: Ja bych na to sel cestou volani nejak skriptu z toho proxyserveru. Tedy proxy zavola nejakou neprivilegovanou cestou neco na tom stroji, ktery potrebuje obnoveny certifikat a ten pak teprve provede stazeni certifikatu z tveho cert storu na proxy (at uz rsyncem, pres http, sftp whatever) a pak provede reload potrebnych sluzeb - jenom tenhle posledni krok bude potrebovat rootovska opravneni.
Zajimavou moznosti u rsyncu je treba pre a post-xfer exec, kdy ti ten rsync posloucha jako daemon a tim, ze se na nej pripojis, se spusti nejaka akce, ktera uz muze probehnout pod rootem. Pritom samotny modul rsyncu je chrootnuty a muze byt read only.

BOAR: Ale jo mas pravdu. Spis je to prezitek z doby kdy LE nebylo. Vsechno co ma uzivatele uz jede na LE. A pokud nechci mit verejny zaznamy o internich systemech, tak se to da udelat i jinak.

BOAR: 5 sekund je dobrých, jsem čekal, že to bude typicky být takový neurčitý interval mezi 0 - 15 min ...

MUXX: musim ric, ze interni CA je zlo nejvetsiho kalibru - a zaroven bezpecnostni dira :-) ale pocitam, ze je to dira pripravena na smirovani - ssl proxy, ktera prepodepisuje vlastni CA autoritou ?
jak resis CA autoritu na mobilech a ruznejch klientech ?

MAJA: ja jsem tu v gitlabu udelal CI, ktery dela renew, a pak vsechny certy nacpe do gitu. Kazdej stroj si v noci stahne repozitar s certifikatama, a reloadne nginx.

MAJA: Ja delam ty certifikaty nektery hvezdickovy, takze je delam pres DNS.
Vypada to tak, ze na domene je udelanej TXT CNAME na dns server, klterej si pousti a manazuje to CI
takze v hlavnim DNS je:
_acme-challenge.ahoj.cz IN CNAME ahoj.cz.le.adresatohodnsvci.cz

takze by to znamenalo do DNS, ktery spravuje jina firma jen pridat zaznam pro kazdou domenu - a nasmerovat ho na tvuj DNS server. kde si pak udelas overeni.
btw. nemusis cekat, ejstli to prosaklo na druhej konec - LE se pta primo autoritativniho dns serveru, takze tam muzes zadat zaznam, a udelat reload - a v tom okamziku to le najde. ja tam mam tusim 5 sec pauzu.

MAJA: hele, co je LE seznam?

SPM: DNSko bohužel spravuje externí firma, tak jsem skončil u té jednodušší webové varianty ... ale zase je to rychlejší resp. člověk nemusí rešit, jestli už se záznam updatoval a prosáklo to na druhý konec apod.