In de loop van zondag 28 oktober is er een foutsituatie ontstaan bij het
publiceren van een nieuwe ZSK (met key tag: 20331). Deze nieuwe ZSK was
namelijk nog niet gepubliceerd in het DNS, terwijl de door SIDN gebruikte
software (OpenDNSSEC) ervan uitging dat dit wel het geval was.

Als gevolg hiervan was de zogenaamde 'pre-publication'-tijd van de nieuwe ZSK
te kort. Toen er RRSIG's in de .nl-zone verschenen die waren gemaakt met de
nieuwe ZSK, was de TTL van de oude DNSKEY RRset nog niet verstreken, waardoor
deze nog werd gebruikt door validerende resolvers, met DNSSEC validatiefouten
tot gevolg. Deze validatie problemen ontstonden ongeveer om 20:45 u.

Getroffen:

Zij die gebruik maken van DNSSEC-validatie.

Oplossing:

Na het verstrijken van de TTL (maximaal 2 uur), of het anderszins verversen van de cache (bijvoorbeeld door een herstart van de resolver), werd het juiste sleutelmateriaal gebruikt en werkte validatie weer.

Oorzaken

SIDN heeft de samenloop van omstandigheden onderzocht, de volgende factoren speelden een rol:

• Een fout (vastloper) in OpenDNSSEC, waardoor de zonefile-publicatie stil kwam te liggen.
• Discrepantie tussen de vermeende situatie volgens OpenDNSSEC en de werkelijke situatie in het DNS, met als gevolg een te korte pre-publish periode van de nieuwe ZSK.

SIDN zal maatregelen treffen om herhaling te voorkomen.

Nu moet je altijd backups maken, maar als er bijvoorbeeld wordt ingebroken (of erger: bijvoorbeeld brand) dan ben je waarschijnlijk je server kwijt en ook je mooie USB backup disk die er naast lag.

De backups die we hier inrichten gaan we maken met sshfs een filesysteem boven op ssh. Je buurtgenoot hoeft alleen maar ssh "open" te zetten en kun je zijn disks benaderen alsof je ze in je eigen computer zitten. Verder gebruik ik rdup om de backup te maken, maar (natuurlijk) vrij om je eigen oplossing te kiezen.

Om alles met rdup perfect te laten werken heb je vrij nieuwe packages nodig. Die heb ik klaar staan op dit adres. Ook heb je een sshfs nodig die hardlinks snapt, zie daarvoor hier.

In principe zou je ook met huidige packages in Ubuntu ook aan de slag moeten kunnen.

Aan dit verhaal zitten verder twee kanten:

1. de server kant; daar waar de OpenSSH server draait en de diskruimte bestaat voor de backup, en;
2. de client kant, waar diegene zit die een backup wilt maken.

Om een remote backup te laten werken moet je volgende doen aan de server kant:

• ssh instellen;
• backup gebruiker aanmaken;
• sftp instellen, dit staat voor secure ftp en is een onderdeel van ssh;

Aan de client kant doe je dit:

• sshfs installeren en remote disk mounten;
• rdup installeren of een andere backup tool;
• backup maken.

Server

ssh instellen

Installeer OpenSSH (liefst de niewste, maar ouder mag ook), op Ubuntu:

sudo apt-get install openssh-server openssh-client

Als het goed is wordt de server ook automatisch gestart en zou je op je eigen server moeten kunnen inloggen met:

ssh localhost

backup gebruiker aanmaken

Het is handig om een aparte gebruiker aan te maken waarmee de backups worden gemaakt. We doen dat als volgt:

sudo adduser backup

Je moet dan een aantal vragen beantwoorden en een wachtwoord instellen. Als dit gelukt is gaan we een nieuwe gebruikers groep maken en de gebruiker backup daar lid van maken.

sudo addgroup sftp

Gebruiker lid van de groep maken:

sudo addgroup backup sftp

sftp instellen

In de file /etc/ssh/sshd_config staat onderaan iets genoemd over:

Subsystem sftp /usr/lib/openssh/sftp-server

Dit moet je weghalen en vervangen door:

Subsystem sftp internal-sftp
Match group sftp
         ChrootDirectory /mnt/backup/%u
         X11Forwarding no
         AllowTcpForwarding no
         ForceCommand internal-sftp

Let op wat je bij ChrootDirectory invult, hier staan de instellingen die ik gebruik. Bij jou moet daar de plek staan waar jij wilt dat gebruiker backup zijn backups heen schrijft. Let er ook op dat de gebruiker backup schrijfrechten heeft in die directory. (De %u wordt door de ssh server geexpandeerd naar de gebruikers naam.)

De instellingen van hierboven zeggen zoveel als: Alleen gebruikers in de sftp groep mogen gebruik maken van sftp en ze komen dan uit in /mnt/backup/<gebruikersnaam>.

Client

Op de client kant heb je alleen sshfs nodig en verder "iets" om backups mee te maken. Ik laat hier kort rdup zien, maar er zijn natuurlijk zat andere oplossingen.

sshfs installeren

Kan weer makkelijk met apt-get:

sudo apt-get install sshfs

Daarna kun je met sshfs kijken of e.a. ook echt werkt. Hier mounten we de remote "disk" via sshfs op de locale directory /mijn/backup:

sshfs backup@remote.org: /mijn/backup

Na het ingeven van je wachtwoord kun je nu /mijn/backup benaderen als lokale disk.

Eventueel kun je dit ook opnemen in de /etc/fstab:

sshfs#backup@remote.org:    /mijn/backup/ fuse comment=sshfs,noauto,reconnect,password_stdin 0 0

Nu kun gewoon zeggen:

sudo mount /mijn/backup

en wordt het remote systeem gemount via sshfs.

rdup

Ik wil niet dat mijn data op een computer komt staan die niet van mij is zonder encryptie. Dus gebruik ik rdup met encryptie en voor de aardigheid gzip ik ook alle bestanden zodat er iets minder ruimte wordt ingenomen. Ik zal het hier heel kort houden, want misschien wil je wel gewoon rsync gebruiken.

Een backup van mijn home-directory is als volgt te maken:

sudo rdup-simple -z -k /etc/rdup/sleutel /home/miekg /mijn/backup

Klik hier voor meer informatie over rdup.

Een andere manier zou kunnen zijn:

sudo cp -rap /home/miekg /mijn/backup

Maar deze kopie is niet gecomprimeerd, noch geencrypt.

Een Nederlandse howto kun je bij techzine.nl vinden. Maar het rooten van je phone is daar wat omslachtiger omschreven dan hier.

Het flashen van je telefoon kan deze dusdanig beschadigen dat 'ie kapot is. Hij is dan zogenaamd gebricked en alleen nog maar nuttig als paperweight. Je hebt er dan dus helemaal niks meer aan!

Na deze waarschuwing wil je natuurlijk ook naar Froyo upgraden. De stappen zijn als volgt:

• Root je phone;
• Recovery installeren (soort bootloader);
• Booten naar recovery;
• Je telefoon flashen;
• Klaar!

In detail komt dat op het volgende neer. Eerst de voorbereidende stappen:

1. In de Android Market zoek en installeer:

2. AppInstaller van modmymobile;

3. ROM Manager.

4. Download universalandroot van blog.23corner.com/tag/universalandroot/. Dit is een directe link;

5. Download de juiste "Stable Mod" ROM voor je telefoon van Cyanongenmod/files.

6. Download "Google Addon pack" voor jouw telefoon. Hier zitten de standaard Google Apps in.

7. Zet de universalandroot, "Google Addon pack" en de ROM in de root directory op de SD kaart van je telefoon.

Rooten en flashen

1. Open AppInstaller en laat de androot.apk vinden op je SD kaart. Selecteer die .apk en laat hem installeren.

2. Open dan Universal AndRoot. Die moet het type van je telefoon herkennen, zo niet, dan zo ik nu maar ophouden. Herkent die je telefoon klik dan op 'root'. Als dat lukt, ben je eindelijk super user op je eigen telefoon.

Nu een custom ROM installeren:

1. Open ROM Manager en installeer Recovery. Wat ik er van begrijp is dit een soort custom boot loader. Met deze loader kun je dan weer een ROM in je telefoon schieten. Ik heb ClockworkMod Recovery gebruikt en bij mij werkte dat goed. Enige moeilijke was ontdekken welke telefoon ik nu precies had.

2. Als je een recovery hebt geinstalleerd, selecteer dan "Backup Current ROM". Dit is mij niet gelukt, maar toen dacht dat ik mijn oude ROM toch nooit meer nodig zou hebben. (Gelukkig ging het flashen goed).

3. Daarna kies je voor "Reboot Into Recovery". Dit lukte bij mij niet meteen goed, maar na een aantal keer de battery eruit gehaald te hebben, zat ik eindelijk de recovery. Krijg je ipv de Recovery een geel uitroep teken te zien, dan is er iets mis gegaan met de installatie hiervan. Reboot dan je telefoon weer een keer en ga terug naar stap 1. Mocht je niet in de recovery eindigen, dan kun je ook nog proberen om te rebooten en dan de "Home" en de "Power" toets tegelijk ingedrukt te houden.

4. In de recovery selecteer:

5. "wipe data/factory reset" en dan;

6. "wipe cache partition". Dit een belangrijke stap, als je dit niet doet kun je in een reboot-loop terecht komen en is je telefoon stuk.

7. "install zip from sdcard". Navigeer naar je ROM op je SD en laat je telefoon ermee flashen.

8. "reboot". Reboot je telefoon. Dit kan wat langer duren na zo'n firmware upgrade.

   Als de stap lukt. Gefeliciteerd: Je draait nu CyanogenMod 6.0

   Als het mislukt. Gefelictieerd: Je telefoon is nu kapot. (Misschien helpt nog een keer flashen).

9. Je kunt nu ook via de recovery een nandroid backup maken;

10. Reboot naar de recovery en installeer de "Google Addon pack";

Resterende issues

Mijn Nederlands woordenboek deed het niet goed, maar gelukkig is dat ook opgelost. Installeer deze .apk, met:

adb install -r LatinIME.apk

Je kunt ook nog Swype installeren en waarschijnlijk moet je de Android Market nog fixen. Zie daarvoor: techzine.nl

Ik ga er van uit dat je redelijk bekent bent met DNS. Deze howto neemt een recent BIND9 als uitgangspunt, maar met NSD kom je ook een heel eind.

Er zijn een aantal stappen die je moet zetten voordat je DNSSEC aan hebt staan:

1. Maak een sleutel paar, liefst een KSK (Key signing key) en een ZSK (zone signing key). Dus in totaal twee sleutel paren;
2. Sign je zone met die sleutels;
3. Configureer je nameserver zodat de gesignde zone wordt geserveerd;
4. Configureer CRON zodat elke dag je zone wordt ge-resigned;
5. Test het.

Deze sleutels zijn statisch. We gaan dus geen key rollovers implementeren.

Maak de sleutels:

Sleutels maken gaat met dnssec-keygen, dit programma heeft nogal wat opties. De belangrijkste zijn: -a ALG om het algoritme van je sleutel te specificeren, -b BITS: hoe lang moet je sleutel zijn, -f KSK specificeert een KSK en -n ZONE zegt dat er een DNS sleutel moet worden gemaakt. Voor miek.nl, komen we tot:

dnssec-keygen -a RSASHA256 -b 2048 -f KSK -n ZONE miek.nl
dnssec-keygen -a RSASHA256 -b 1024 -n ZONE miek.nl

(Je kunt dit versnellen door -r /dev/urandom als optie mee te geven, maar dan krijg je kwalitatief slechtere sleutels). Dit levert vier files op, in mijn geval:

Kmiek.nl.+008+12051.{key,private} en Kmiek.nl.+008+33694.{key,private}

Het public deel van mijn KSK ziet er zo uit:

; This is a key-signing key, keyid 33694, for miek.nl.
; Created: Wed Aug 18 14:46:09 2010
; Publish: Wed Aug 18 14:46:09 2010
; Activate: Wed Aug 18 14:46:09 2010
miek.nl. IN DNSKEY 257 3 8 AwEAAcWdjBl4W4wh/hPmNC.<ingekort>...V BdTRBtgHi0s=

Signeer je zone

Dit is de stap die je van PLAIN DNS naar DNSSEC tilt. Signeren gaat met dnssec-signzone. In dit geval gebruik ik ook de -S optie, de zogenaamd smart signing, hierbij kijkt dnssec-signzone naar de commentaar regels (de regels die met ; beginnen in de key), om te zien welke sleutels gebruikt moeten worden. Verder hebben we de sleutels in een aparte directory staan (-K keys) en moeten de gegenereerde DS records ook apart komen (-d ds) (zie "DS records"), -o miek.nl wordt gebruik om aan te geven dat het hier om miek.nl gaat.

Het signeren van miek.nl gaat uiteindelijk met:

dnssec-signzone -K keys -d ds -o miek.nl -S miek.nl

Om dit te automatiseren gebruik ik een kleine Makefile:

.PHONY: miek.nl.signed
KEYDIR=/etc/bind/external/keys
DSDIR=/etc/bind/external/ds
miek.nl.signed:     miek.nl
    @dnssec-signzone -N unixtime -K $(KEYDIR) -d $(DSDIR) -o $< -S $<

NB: deze Makefile zorgt ervoor dat er altijd wordt ge-resigned.

Nameserver configuratie

Verander in mijn geval:

zone "miek.nl" {
type master;
file "/etc/bind/external/miek.nl";
};

naar

zone "miek.nl" {
type master;
file "/etc/bind/external/miek.nl.signed";
};

De bedoeling is duidelijk: serveer de gesignde variant van je zone.

CRON

Plaats een script /etc/cron.daily, die zorgt voor een dagelijkse resign:

% cat /etc/cron.daily/dnssec

#!/bin/bash
# Resign unconditionally
( cd /etc/bind/external ; /usr/bin/make ) && /usr/sbin/rndc reload

Test

Run het script even met de hand: /etc/cron.daily/dnssec:

Fetching KSK 33694/RSASHA256 from key repository.
Fetching ZSK 12051/RSASHA256 from key repository.
Verifying the zone using the following algorithms: RSASHA256.
Zone signing complete:
Algorithm: RSASHA256: KSKs: 1 active, 0 stand-by, 0 revoked
          ZSKs: 1 active, 0 stand-by, 0 revoked
miek.nl.signed
server reload successful

Ziet er goed uit, nu een tweede controle:

dig @a.miek.nl +dnssec +multiline DNSKEY miek.nl

;; ANSWER SECTION:
miek.nl.        14400 IN DNSKEY 257 3 8 (
            AwEAAcWdjBl4W4wh/hPxMDcBytmNCvEngIgB9Ut3C2+Q
            ...
            4N0t9ac/T0a0Sxba/BUX2UVPWaIVBdTRBtgHi0s=
            ) ; key id = 33694
miek.nl.        14400 IN DNSKEY 256 3 8 (
            AwEAAcNEU67LJI5GEgF9QLNqLO1SMq1EdoQ6E9f85ha0
            ...
            M335Ft9xjtXHPy7ztCbV9qZ4TVDTW/Iyg0PiwgoXVesz
            ) ; key id = 12051

Succes!

DS records

In de ds directory staat na het signen een dsset bestand:

% cat dsset-miek.nl.
miek.nl.        IN DS 33694 8 1 8BA582C292324D256599CE72EEE6DF2A9F317AFD
miek.nl.        IN DS 33694 8 2 2C235500B09FA87BBC0981674FC31AF87D2FA4DCFE666A64BA2646F2 9651DB83

Deze records zijn de hash waardes van mijn KSK. Er staan twee DSen in deze file, omdat er twee verschillende hashes SHA-1 (de 1 in "33694 8 1") en SHA-256 (de 2 in "33694 8 2").

Deze DS records, of misschien maar eentje moeten bij .nl terecht komen, zodat zij een secure delegatie voor miek.nl kunnen maken.

Regel nummers kun je weghalen met: sed -r 's/^ +[0-9]+//'

Mijn eigen oplossing is iets langer, maar ik kende exec.Run dan ook nog niet. Hij is wel iets korter geworden dan verwacht, maar daarvoor heb ik een klein beetje gesjoemeld, want ik print nu:

PID 0 has 2 childeren: [453 612]

Dus met blokhaken. Dit doet %v in de fmt.Printf voor mij.

Schrijf een programma dat van alle processen op het systeem uitschrijft hoeveel kinderen elke ouder (parent) heeft. Gebruik het ps commando als volgt: ps -e -opid,ppid. De uitvoer van die ps ziet er als volgt uit (maar dan langer):

PID PPID COMMAND
24497 24496 zsh
25337 24497 ps

De uitvoer van jou programma moet iets worden als:

Pid 0 has 2 children: 1 2
Pid 20555 has 1 child: 20571

Merk op: 1 kind, print dan child, meerdere kinderen print dan children. De uitvoer van de parent PID (PPIDs) moet gesorteerd zijn, dus beginnend bij 0 en dan oplopend.

Om je op weg te helpen, hier een versie in de programmeertaal Perl (Als je Perl niet snapt, heb je nu een probleem):

#!/usr/bin/perl -l
use strict;
use warnings;

my (%child, $pid, $parent);
my @ps=`ps -e -opid,ppid,comm`;     # Capture the ouput from `ps`
foreach (@ps[1..$#ps]) {            # Discard the header line
    ($pid, $parent, undef) = split; # Split the line, discard 'comm'
    push @{$child{$parent}}, $pid;  # Save the child PIDs on a list
}
# Walk through the sorted PPIDs
foreach (sort { $a <=> $b } keys %child) {  
    print "Pid ", $_, " has ", @{$child{$_}}+0, " child",  # Print them
    @{$child{$_}} == 1 ? ": " : "ren: ", "@{$child{$_}}";
}

De versie in Go is iets langer (zo'n 80 regels). Ik zal deze morgen middag posten. In de tussen tijd mag je hier je tanden op stuk bijten.

• Begonnen met: Slackware. Geweldig tijd, dankzij Slackware werd ik gedwongen om zaken echt tot de bodem uit te zoeken. Uiteindelijk verlaten door het gehannes met tgz packages, /usr/local was niet om aan te zien. Volgens mij heeft Slackware tegenwoordig wel package management. Maar dankzij Slackware werkt ik nu nog met VI(m). Veel Linux-nieuwelingen behelpen zich tegenwoordig met Gedit, Kate of nog erger.
• Daarna: RedHat (4.0) met rpm, heerlijk geen tgz meer :-) Totdat ik de rpm-hel ontdekte. Verder vond ik naam ook verschrikkelijk: Colgate, deed me toch teveel aan tandpasta denken.
• Dus toen: Debian. Distro-liefde van mijn leven. Heerlijk package management met dpkg, perfecte installatie tool, bus ladingen met software. Alleen... een beetje traag met nieuwe releases.
• Ubuntu. Alle voordelen van Debian plus kortere release periodes. Ook was Ubuntu iets gebruikers vriendelijker dan Debian toen der tijd.

Dus nu is alles bij mij thuis Ubuntu.

Ook nog wel eens met FreeBSD gespeeld (pas met de installatie van de GNU tools werd dat weer een beetje bruikbaar) en korte tijd Fedora op mijn laptop gehad... gebruik van LVM was leuk, maar daarna gewoon weer Ubuntu erop gezet.

Wat is rdup?

rdup is een platform voor backups. Het genereert een lijst van files die moeten worden gebackupped. Verder levert het de tools om deze lijst te verwerken. Het delegeert encryptie, compressie, transport en format-conversie naar andere programmas op een echte Unix manier.

nicehacks.org

Of met andere woorden:

rdup is de eerste backup tool die geen backups maakt!

Eerst een (semi)waarschuwing, als je "gewoon" je data van machine A naar B wilt kopieren en verder niks geavanceerders nodig hebt (encryptie, compressie of whatever), dan wil je waarschijnlijk rsync of rsnapshot gaan gebruiken.

Goed, als je nog leest, dan wil je waarschijnlijk meer geavanceerde backups maken dan je tot nu toe hebt gaan. Met rdup kun je:

• alle bestanden laten converteren, denk aan encryptie, maar elk Unix filter kan hiervoor gebruikt worden (rev, sort, grep, gzip, etc.);
• pad encryptie, oftewel /home/miekg wordt iets als /Xyfgs==/maAXX== in je backup;
• remote storage; bewaar je backup offsite;
• verschillende output formaten: tar, pax of files op disk.

In dit artikeltje wil ik het hebben over:

• Installatie;
• Backups met rdup-simple;
• Remote backup;
• Restore.

Installatie

We gaan hier rdup zelf even compileren, daarvoor heb je wel wat extra pakketten nodig. Op een Debian/Ubuntu machine:

# apt-get install libglib2.0-0 libglib2.0-dev libpcre3-dev libpcre3 \
libarchive-dev libarchive1 mcrypt automake autoconf gcc libc6-dev

Dan rdup downloaden vanaf miek.nl/projects/rdup/rdup.tar.bz2. Je krijgt dan automatische de laatste versie, nu rdup-1.1.2. Nu uitpakken, compileren en installeren:

$ tar xvf rdup-1.1.2.tar.bz2
$ cd rdup-1.1.2
$ ./configure && make
# make install

Als alles goed gegaan is heb je nu rdup geinstalleerd in /usr/local, en zou /usr/local/bin/rdup -V moeten werken en:

rdup 1.1.2

weer geven. rdup zit ook in de meeste distributies, maar dan is je installatie niet altijd up to date en er zijn de laatste tijd nogal wat wijzingen geweest. Je kunt ook het GIT repository uit checken, zie daarvoor miek.nl/projects/rdup.

Backups maken

rdup bestaat uit een 3-tal commando's:

• rdup: dit zoekt uit wat er gebackupped moet worden;
• rdup-tr: transformeer rdup output naar iets anders (tar, pax, ...). In deze howto zullen we hiermee vooralsnog weinig doen;
• rdup-up: update een bestaande directory met een nieuwe backup.

Verder zit er een hulp script dat een aantal zaken makkelijker kan maken, dit script heet rdup-simple en is een wrapper rond de drie genoemde commando's. Het werkt als volgt:

$ /usr/local/bin/rdup-simple ~ /backup/

Maakt een backup van je homedir (~) naar /backup/ waar rdup-simple een datum structuur aanmaakt, je krijgt dus iets te zien als 201003/15 als je op 15 maart 2010 een backup maakt.

Met de -z vlag van rdup-simple wordt de hele backup gezipped. Met -k KEYFILE worden alle files gecodeerd met de sleutel die in de file KEYFILE staat. Deze vlaggen kunnen ook gecombineerd worden:

$ echo "mijn sleutel" > KEY
$ /usr/local/bin/rdup-simple -z -k KEY ~ /backup

geeft je een gecomprimeerde en gecodeerde backup in /backup:

 $ file /backup/201003/15/home/miekg/bin/cgo
 /backup/201003/15/home/miekg/bin/cgo: mcrypt 2.5 encrypted
 data, algorithm: rijndael-128, keysize: 32 bytes, mode: cbc,

Inderdaad gecodeerd. Ook maar even controleren of het gzipped is. Eerst decoderen:

 $ mcrypt -d -f KEY < /backup/201003/15/home/miekg/bin/cgo > /tmp/cgo.plain 
 $ file /tmp/cgo.plain  
 /tmp/cgo.plain: gzip compressed data, from Unix, last modified: Sun Feb  7 12:03:36 2010

Ja, die is dus ook gezipped; rdup-simple zal altijd eerst comprimeren en dan coderen.

Going places

Als je gewoon lokaal een backup maakt die niet gecodeerd is, kun je net zo goed rsync of rsnapshot gebruiken. Het wordt pas leuk als je jouw backup bij iemand anders wilt neerzetten en dan natuurlijk gecodeerd en eventueel ook met pad-encryptie. Deze functionaliteit is ook in rdup-simple ingebouwd.

Met:

$ rdup-simple ~ ssh://user@remotehost/backup/mijnhost

stuur je een backup van je home directory naar remotehost in de directory /backup/mijnhost. Die backup staat daar zonder encryptie en dat kan natuurlijk niet, dus:

$ echo "mijn geheime sleutel" > KEY  # voor de file encryptie
$ echo "pad sleutel12345" > PADKEY   # pad encryptie, precies 16 lang
$ rdup-simple -z -k KEY -X PADKEY ~ \
ssh://user@remotehost/backup/encryptedhost

Nu krijgen we dus een backup die gecodeerd is plus waarin elk pad gecodeerd is en waarin de files gecomprimeerd zijn. Dit is dus absoluut niet te lezen voor buitenstaanders, en ook niet meer voor jezelf als de encryptie sleutels kwijt raakt! De backup ziet er dan ongeveer zo uit:

$ ls -Rl /backup/encryptedhost
/backup/encryptedhost/201003/16:
drwxr-xr-x 3 miekg miekg 4.0K Mar 16 11:29 MaSchL_1t1U6LCJMQ5OdKg\=\=/
/backup/encryptedhost/201003/16/MaSchL_1t1U6LCJMQ5OdKg==:
-rwxr-xr-x 1 miekg miekg  397 Feb 20  2009 0Z0qU5amjVCNA0oadhW3Uw\=\=*
-rwxr-xr-x 2 miekg miekg 1.3K Feb 20  2009 2FFibrYPg_uAkEuN3Ff0tg\=\=*
-rwxr-xr-x 1 miekg miekg  557 Apr 13  2009 doxnpTxs3ImH__swNVZLMeSigknQ7JiWlJYYGu54Foo\=*
lrwxrwxrwx 1 miekg miekg   24 Mar 16 11:29 iZgUeeB4vURP7wIST_JXlw\=\= -> 2FFibrYPg_uAkEuN3Ff0tg\=\=*

Dat die laatste file is een symlink is, is zo'n beetje het enige dat te onderscheiden is.

Terug zetten backup

Ik geloof in het KISS principe en dus maakt rdup-simple alleen maar backups, er zit zelfs geen support in om oude backups op te ruimen, want daar hebben we al een andere tool voor (rm -rf). Het terug zetten van een backup is feitelijk een omgekeerde backup maken. We grijpen dan terug op de rdup commando's.

Laten we de backup die we gemaakt hebben met /usr/local/bin/rdup-simple -z -k KEY ~ /backup eens terug zetten naar een directory /tmp/restore.

$ rdup -Pmcrypt,-d,-f,KEY,-q -Pgzip,-d,-c /dev/null \
/backup/201003/15/home/miekg | rdup-up -t /tmp/restore

Apropos: dit is bijna identiek aan hoe rdup-simple de pipeline samenstelt voor de backup...

We laten rdup hier alle bestanden uit de backup directory oplepelen (rdup /dev/null /backup/....) en laten rdup deze eerst door mcrypt -d -f KEY -q sturen, in de commando regel hierboven is dat:

-Pmcrypt,-d,-f,KEY,-q

En daarna nog een keer door gzip -d -c, met:

-Pgzip,-d,-c

Dit wordt dan allemaal opgevangen door rdup-up en die zet het in /tmp/restore neer. Nu krijg je in je restore directory wel het hele backup pad (tmp/backup/201003/16/home/miekg) terug, dus de files waar het om gaat staan vrij "diep". Gelukkig kun je hier om heen werken door de -s N vlag te gebruiken van rdup-up deze sloopt N pad elementen uit je restore, dus met

$ rdup -Pmcrypt,-d,-f,KEY,-q -Pgzip,-d,-c /dev/null \
/backup/201003/15/home/miekg | rdup-up -t -s 5 /tmp/restore

Wordt /tmp/backup/201003/16/home (5 slashes) van het pad afgesnoept en staat de restore gelijk onder /tmp/restore. Je zou in dit geval zelfs -r /tmp/backup/201003/16/home/miekg kunnen gebruiken, welke niet slashes telt maar gewoon dat pad-deel eraf sloopt.

Meer info

Er is nog wel meer te vertellen over rdup, maar ik wil het hierbij laten en eventueel nog een artikel erover schrijven. Heb je nog vragen en/of opmerkingen dan kun je direct naar mij mailen of kijken op de rdup pagina.

Maar nu lijkt het toch bijna zover te zijn. Ben benieuwd wanneer we echt overstappen en er een officiele DNSSEC root key wordt gedistribueerd.

% dig . @l.root-servers.net dnskey 

; <<>> DiG 9.5.1-P2.1 <<>> . @l.root-servers.net dnskey
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64132
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;.              IN  DNSKEY

;; ANSWER SECTION:
.           86400   IN  DNSKEY  256 3 8 AwEAAa1Lh++++++++++++++++THIS/IS/AN/INVALID/KEY/AND/SHOULD
/NOT/BE/USED/CONTACT/ROOTSIGN/AT/ICANN/DOT/ORG/FOR/MOR E/INFORMATION+++++++++++++++++++++++++++++++++++++++++++ +++++++8
.           86400   IN  DNSKEY  257 3 8 AwEAAawBe++++++++++++++++THIS/IS/AN/INVALID/KEY/AND/SHOULD
/NOT/BE/USED/CONTACT/ROOTSIGN/AT/ICANN/DOT/ORG/FOR/MOR E/INFORMATION+++++++++++++++++++++++++++++++++++++++++++ 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 
++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++8=

;; Query time: 119 msec
;; SERVER: 199.7.83.42#53(199.7.83.42)
;; WHEN: Thu Jan 28 08:43:00 2010
;; MSG SIZE  rcvd: 439