9. Produkt

Allgemein

Für alle drei Fälle gilt, dass ein illegales Angebot grundsätzlich so schnell wie möglich vom Netz genommen werden sollte!

Webhosting

Im Fall von "einfachem" Webhosting wird der Internet Service Provider unter Rücksicht auf unbeteiligte Dritte "leider" nur einen Auszug sichern können.
Von Vorteil ist jedoch, dass die Kunden in der Regel keine transparente Verschlüsselung einsetzen können!?

Informationen über das System (Hierbei sind insbes. Datenverzeichnisse sowie Speicherorte der Protokolldateien von Interesse.):

  • Distribution inkl. Version (da in der Regel Linux zum Einsatz kommen wird)
  • ... sowie vom Standard abweichende Konfiguration
  • Applikationen (Apache HTTP Server, MariaDB Server, PHP: Hypertext Preprocessor) inkl. Versionsstände
  • ... sowie vom Standard abweichende Konfiguration des ISP
  • ... sowie individuelle Konfiguration des Kunden (meist über ein Webfrontend, wie z. B. Parallels Plesk)

Der Dienst, der gesichert werden soll, sollte vorher (soweit möglich) gestoppt werden!

Beispielhafte Sicherung des "Document Root" eines Apache HTTP Servers unter Debian GNU/Linux

Achtung Schleudergefahr 1. Beispiel: lokaler Datenträger (Für mehr Details bitte klicken!)

# find /var/www \( -type f -o -type d -o -type l \) -exec stat '{}' \; | tee -a var_www_stat
  Datei: „./index.html“
  Größe: 11104 Blöcke: 24 EA Block: 4096 reguläre Datei
Gerät: fe03h/65027d Inode: 100689847 Verknüpfungen: 1
Zugriff: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Zugriff : 2015-10-13 08:51:21.733845567 +0200
Modifiziert: 2015-09-29 17:26:45.342639038 +0200
Geändert : 2015-09-29 17:26:45.342639038 +0200
 Geburt : -
[...]

# find /var/www \( -type f -o -type d \) -exec getfacl -np '{}' \; | tee -a var_www_getfacl
# file: ./index.html
# owner: 0
# group: 0
user::rw-
group::r--
other::r--
[...]

# find /var/www -type f -exec openssl md5 '{}' \; | tee -a var_www_md5
MD5(index.html)= 74cec59a19e5d16f7cc6a2445e35fa3b
[...]

# find /var/www -type f -exec openssl sha1 '{}' \; | tee -a var_www_sha1
SHA1(index.html)= 82e01cba3a822a0b52734eced67839eacf3d8eea
[...]

# tar -cpPzv --atime-preserve --numeric-owner --acls --format=posix --file var_www.tar.gz /var/www
/var/www/index.html
[...]

# openssl md5 var_www.tar.gz | tee -a var_www.tar.gz.md5
[...]

# openssl sha1 var_www.tar.gz | tee -a var_www.tar.gz.sha1
[...]

Achtung Schleudergefahr 2. Beispiel: per SSH über das Netzwerk (Für mehr Details bitte klicken!)

Quelle:

# find /var/www \( -type f -o -type d -o -type l \) -exec stat '{}' \; | ssh user@192.168.178.123 "cat > ~/Sicherung/var_www_stat"
user@192.168.178.123's password: ************

# find /var/www \( -type f -o -type d \) -exec getfacl -np '{}' \; | ssh user@192.168.178.123 "cat > ~/Sicherung/var_www_getfacl"
user@192.168.178.123's password: ************

# find /var/www -type f -exec openssl md5 '{}' \; | ssh user@192.168.178.123 "cat > ~/Sicherung/var_www_md5"
user@192.168.178.123's password: ************

# find /var/www -type f -exec openssl sha1 '{}' \; | ssh user@192.168.178.123 "cat > ~/Sicherung/var_www_sha1"
user@192.168.178.123's password: ************

# tar -cpPzv --atime-preserve --numeric-owner --acls --format=posix --file - /var/www | ssh user@192.168.178.123 "cat > ~/Sicherung/var_www.tar.gz"
user@192.168.178.123's password: ************

Ziel:

# cat ~/Sicherung/var_www_stat
  Datei: „./index.html“
  Größe: 11104 Blöcke: 24 EA Block: 4096 reguläre Datei
Gerät: fe03h/65027d Inode: 100689847 Verknüpfungen: 1
Zugriff: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root)
Zugriff : 2015-10-13 08:51:21.733845567 +0200
Modifiziert: 2015-09-29 17:26:45.342639038 +0200
Geändert : 2015-09-29 17:26:45.342639038 +0200
 Geburt : -
[...]

# cat ~/Sicherung/var_www_getfacl
# file: ./index.html
# owner: 0
# group: 0
user::rw-
group::r--
other::r--
[...]

# cat ~/Sicherung/var_www_md5
MD5(index.html)= 74cec59a19e5d16f7cc6a2445e35fa3b
[...]

# cat ~/Sicherung/var_www_sha1
SHA1(index.html)= 82e01cba3a822a0b52734eced67839eacf3d8eea
[...]

# openssl md5 ~/Sicherung/var_www.tar.gz | tee -a ~/Sicherung/var_www.tar.gz.md5
MD5(mnt.tar.gz)= 1d9d8be9a88842b95388ec50297be054
[...]

# openssl sha1 ~/Sicherung/var_www.tar.gz | tee -a ~/Sicherung/var_www.tar.gz.sha1
SHA1(mnt.tar.gz)= 387457b334ae06850adf7c97d443779f2a4f5099
[...]

In Bezug auf die Protokolldateien und die anderen Dienste (MariaDB Server, PHP: Hypertext Preprocessor, FTP-Server, Mail-Server, ...) wäre ähnlich zu verfahren!

"vServer"

Im Fall eines virtuellen Servers verhält es sich in Bezug auf den "Host" ähnlich zum Webhosting (Distribution, Verschlüsselung,...), allerdings besteht hier die Chance, dass die Daten des virtuellen Servers in einem einzigen virtuellen Laufwerk/einer einzigen regulären Datei liegen, welche(s) komplett gesichert werden kann (analog zum "Root Server").

Informationen über das System:

  • Distribution inkl. Version (da in der Regel Linux zum Einsatz kommen wird)
  • ... sowie vom Standard abweichende Konfiguration
  • Art und Umsetzung der "Virtualisierung" (Produkt und Konfiguration)
  • Konfigurationsmöglichkeiten des Kunden

In der Regel wird kein Zugriff auf das laufende System im vServer möglich sein, weshalb eine logische Datensicherung von entschlüsselten Geräten/Containern nicht so ohne Weiteres möglich sein wird.
ABER: Es sollte der Arbeitsspeicher des laufenden vServers gesichert werden!

Wenn möglich, sollte der vServer vor der Sicherung des virtuellen Laufwerks/der regulären Datei (in welcher das System liegt) heruntergefahren werden!?

Root Server

Der günstigste Fall ist ein Dedizierter Root Server. Theoretisch kann dieser komplett übergeben werden.

Informationen über das System:

  • Welche Distribution wurde im Rahmen der Bestellung gewählt?
  • Welches Passwort wurde dem Kunden im Rahmen der Zurverfügungstellung übermittelt?

Beispielhafte Sicherung eines RAID, welches auf zwei physikalischen Laufwerken verteilt liegt

Um Schreibvorgänge zu vermeiden, sollten folgende Vorbereitungen getroffen werden (wenn möglich):

  • aushängen (umount) aller Dateisysteme, die in logischen Laufwerken (/dev/dm-X) liegen
  • aushängen aller Dateisysteme, die direkt in einem RAID (/dev/mdX) liegen

Achtung Schleudergefahr 3. Beispiel: RAW Image (Für mehr Details bitte klicken!)

# openssl md5 /dev/sda | tee -a dev_sda.md5
[...]
# openssl sha1 /dev/sda | tee -a dev_sda.sha1
[...]
# dd if=/dev/sda of=sda.dd bs=512 conv=noerror,sync
[...]
# openssl md5 sda.dd | tee -a sda.dd.md5.txt
[...]
# openssl sha1 sda.dd | tee -a sda.dd.sha1.txt [...]

# openssl md5 /dev/sdb | tee -a dev_sdb.md5
[...]
[...]
# openssl sha1 /dev/sdb | tee -a dev_sdb.sha1
[...]
# dd if=/dev/sdb of=sdb.dd bs=512 conv=noerror,sync
[...]
# openssl md5 sdb.dd | tee -a sdb.dd.md5
[...]
# openssl sha1 sda.dd | tee -a sdb.dd.sha1 [...]

# openssl md5 /dev/md1 | tee -a dev_md1.md5
[...]
# openssl sha1 /dev/md1 | tee -a dev_md1.sha1
[...]
# dd if=/dev/md1 of=sda.dd bs=512 conv=noerror,sync
[...]
# openssl md5 md1.dd | tee -a md1.dd.md5
[...]
# openssl sha1 md1.dd | tee -a md1.dd.sha1 [...]

(Eine Lösung über das Netzwerk ist analog zum 2. Beispiel selbstverständlich auch möglich!)

Nachbereitung (wenn nötig):

  • einhängen (mount) aller Dateisysteme, die in logischen Laufwerken liegen
  • einhängen aller Dateisysteme, die direkt in einem RAID liegen

Zusätzliche Services

Hat der Kunde darüber hinaus die Möglichkeit, über einen "Domain Registration Robot" (Andere Anbieter stellen u. U. ähnliche Frontends zur Verfügung.) selber direkt bei einem Domain Name Registrar Internet-Domains registrieren zu können, sollte ihm diese Möglichkeit ebenfalls genommen werden!

Gleiches gilt selbstverständlich auch für einen Zugang zu einem "Nameserver Robot"! (Andere Anbieter stellen u. U. ähnliche Frontends zur Verfügung.)

weiter