Bareos mit LTO5-Hardware-Encryption

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Benutzeravatar
DynaBlaster
Beiträge: 958
Registriert: 25.03.2004 18:18:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: DF0://dynablaster.adf

Bareos mit LTO5-Hardware-Encryption

Beitrag von DynaBlaster » 23.04.2018 11:48:52

Moin,

ggf. hat sich hier ja auch schon damit rumgeschlagen. Bareos und das Schreiben auf den LTO5-Streamer funktionieren. Jetzt sollen die Bänder mittels LTO5-HW-Verschlüsselung mit einer Passphrase abgesichert werden. Dazu bin ich ich nach der offiziellen Bareos-Doku vorgegangen. siehe hier: http://doc.bareos.org/master/html/bareo ... 400026.2.2

Jetzt habe ich aber das Problem, das nach der Aktivierung der Verschlüsselung/Passphrase für den Streamer, systemd/init.d den Start des Storage-Daemon verweigert.

Code: Alles auswählen

Device {
  Name = streamer
  Archive Device = /dev/st0
  Device Type = Tape
  Media Type = LTO-5
  LabelMedia = yes;                   # lets Bareos label unlabeled media
  Random Access = No;
  AutomaticMount = yes;               # when device opened, read it
  RemovableMedia = yes;
  Drive Crypto Enabled = yes;	# Aktivierung Crypto und Passphrase A
  Query Crypto Status = yes;      # Aktivierung Crypto und Passphrase B
  AlwaysOpen = no;
  Description = "Streamer Device directly attached to bamboo/bareos server"
}
Ohne den Eintrag "Capabilities=cap_sys_rawio+ep" in der systemd-service-Datei /etc/systemd/system/bareos-sd.service wie in der Doku beschrieben geht auch gar nix, mit dem Einttrag erhalte ich aber diese Fehermeldung bei Start des Daemons

Code: Alles auswählen

root@backup:~# service bareos-storage restart
root@backup:~# jornaulctl -xe
[....]
bareos-storage.service: Failed at step SECUREBITS spawning /usr/sbin/bareos-sd: Operation not permitted
[...]
# manuelle capabiliites sind gesetzt
root@backup:~# getcap /usr/sbin/bscrypto
/usr/sbin/bscrypto = cap_sys_rawio+ep
root@backup:~# getcap /usr/sbin/bareos-sd
/usr/sbin/bareos-sd = cap_sys_rawio+ep
Hab schon nach Securebits gegooglet finde aber nix wirklich hilfreiches. Denke auch nicht, das das an Bareos selbst liegt, sondern irgendein Rechteprpblem der Systemd-Unit ist.

Antworten