RSync-Client auf TS-230

  • Hallo zusammen,

    den RSync-Server habe ich ja schon auf meinem TS-230 gefunden, in HBS3.

    In den Software-Spezifikationen finde ich unter HNB:

    5. Remote server syncing (CIFS/SMB, FTP, Rsync, and RTRR)

    RTRR habe ich auch gefunden, jedoch nicht RSync(-Client) !!!

    Wo finde ich denn den RSync-Client ?


    Danke und Grüße
    Hamburgo


  • Moin,


    was hast Du denn vor?

    Wenn Du Daten von dem Gerät mittels Rsync übertragen willst, machst Du das mit einem HBS3 Job.

  • SicherungsAuftrag00.pngMoin,

    Das Bild zeigt meinen 1. Eingabe-Versuch. Dort wird aber ein RTRR-Server erwartet, aber kein rsync-server (port 873).

    Moin,

    Ich plane mit einem Kumpel, dass wir gegenseitig unsere NAS
    beim jeweils anderen sichern.

    Wenn ich alles korrekt verstanden habe, dann braucht es dazu
    auf beiden NAS 2 RSync-Dieste.

    1. den Client "rsync" damit ich meine Daten zum NAS meines Kumpels "versenden" kann.

    2. den Server "rsync-server" damit mein NAS von meinem Kumpel "empfangen" kann.

    Wie gesagt, wo ich den "rsync-server" aktivieren kann, habe ich gefunden.

    Noch nicht gefunden habe ich, wo ich meinem TS-230 sagen kann,
    dass es meine Daten sichern und per client "rsync" versenden soll.

    Meine Frage ist also:

    Wo erstelle ich einen "HBS3 Job", der das zu einem bestimmten Termin automatisch abarbeitet ?

    3 Mal editiert, zuletzt von Hamburgo ()

  • Moin,

    ok, verstanden, herzlichen Dank.

    Das NAS-spezifische Vokabular ist mir noch nicht so geläufig.

    Klar, wie der Name schon sagt, "syncronisiert" RSync Ordner und "sichert" sie nicht.

  • Klar, wie der Name schon sagt, "syncronisiert" RSync Ordner und "sichert" sie nicht.

    Na ja, eigentlich sichert rsync und synchronisiert nicht. Unter Synchronisierung verstehe ich beide Richtungen. Hier hast du aber nur eine Richtung. Was du bei dir hinzufügst, änderst oder löschst, wird durch den Job bei deinem Kumpel nachgezogen, aber nicht in anderer Richtung.


    Ich meine, rsync kann theoretisch sogar eine Sicherung mit Versionierung erstellen, hat aber bei mir nicht geklappt. Macht nichts, dann legt man halt auf dem fernen NAS (bei deinem Kumpel) einen Backup-Job (in HBS oder einem anderen Backup-Programm, wenn dort kein Qnap steht) an, welcher von dem synchronisierten Verzeichnis ein Backup mit Versionierung macht. Die Versionierung lege ich dir sehe ans Herz, denn dass ein Verschlüsselungstrojaner auf deinem NAS war, merkst du womöglich erst, nachdem der rsync-Job gelaufen war.


    Und dann empfehle ich dir, die Synchronisation über einen ssh-Tunnel (heißt in den Qnap-Einstellungen "Verschlüsselungsport verwenden") zu machen.

  • @Anthracite:
    Danke für Deine ausführliche Beratung und der sehr gut beschriebenen Strategie.

    Nachdem @tiermutter meine Vokabular-Blockade gelöst hatte, sind mir schnell ähnliche Gedanken gekommen, waren aber in sich noch nicht so rund, wie die Deinen.

    Ich teile Deine Einschätzung, dass rsync eigentlich eine BackUp-Variante ist und empfinde die Differenzierung seitens Qnap zwischen "Sichern & wiederherstellen" (BackUp) und Synchronisation eher unglücklich bzw. hinderlich.

    Besser wäre meines Erachtens nur eine Auftrags-Erfassung zu haben und erst in dieser, nach Auswahl des Ziel-Mediums zwischen den Varianten zu unterscheiden.

    Aber alles hat auch sein Gutes. Da ich aus bekannten Gründen den rsync-client nicht sofort gefunden habe, ich aber zeitnah wissen wollte, dass man per rsync-client via Internet auf das TS-230 sichern kann, habe ich mir halt in WSL (ubuntu) selbst einen Client gebaut, weil DeltaCopy & Co dazu nicht taugen.

    Wenn man unter Ubuntu eine Domain als Ziel angibt, baut rsync grundsätzlich einen ssh-tunnel auf und hier war es dann für mich die etwas sportliche Herausforderung die passwort-abfrage per rsa-schlüssel zu eliminieren, damit die PowerShell-Scripte CronJob-fähig werden. Das klappt jetzt wunderbar.

    Das scheint aber nun dem Rsync-Remote-Server-Job in HBS3 Probleme zu bereiten, wenn ich den Haken bei "Verschlüsselungsport verwenden" setze und die [Verbindung teste]. Da meldet er "Zugriff verweigert", wohl weil er sich mit Benutzername und Passwort anmelden will.

    Weiss jemand wie man diesem Prozess sagt, dass er einen rsa-schlüssel für die Auth verwenden soll ?

  • Weiss jemand wie man diesem Prozess sagt, dass er einen rsa-schlüssel für die Auth verwenden soll ?

    In HBS, Rsync-Server:

    Benutzername ist derjenige, unter dem rsync auf dem Zielsystem gestartet wird.

    Das Passwort bleibt leer.


    Auf diesem Qnap-NAS:

    RSA-Key für admin wird erzeugt (admin führt die HBS-Jobs aus). Dabei wird der Standard-Dateiname für den RSA-Key genommen und die zugehörige Passphrase bleibt leer.


    Auf dem Zielsystem:

    In authorized_keys desjenigen Benutzers, der rsync ausführen wird (s. o. zu Benutzername) wird der Public-Key des admin hineinkopiert.

    Optional: Wenn man, da hier ein ssh-Zugriff ohne Passphrase erfolgt, die Möglichkeiten des ssh-Zugangs einschränken will, kann man dies in authorized_keys mit command="rsync --server --daemon ." tun oder alternativ mit einem Shellskript, welches nur dieses Kommando passieren lässt.


    Ich hoffe, ich habe nichts vergessen. Bei mir funktioniert es für die Sicherung von Qnap zu Synology.

  • Da es immer wieder Lücken in QTS gibt würde ich da eher zu einem externem VPN GW raten, am besten eine Firewall die dann sauberes Regelwerk erlaubt.


    Dann fängt man sich den Trojaner auch gar nicjt erst ein.

  • ssh mit ssh-Keys hat ein hohes Sicherheitsniveau und ist sehr weit verbreitet und damit sehr gut durchgetestet. Da habe ich derzeit keine Sicherheitsbedenken.


    Unsicher wird ssh nur dann, wenn man die Authentifizierung über Passwörter zulässt und zusätzlich zu einfache Passwörter für einige Accounts wählt oder vom Hersteller vorgegebene Passwörter (für admin o. Ä.) nicht ändert.

  • Mag ja sein, aber ich glaube nicht mehr an das Märchen vom sicheren NAS @home, das gehört hinter eine Firewall.

    Denn bisher war so ziemlich jeder Dienst, den so ein Teil vom Hersteller aus mitbringt irgendwie mal von einer CVE betroffen. Und einige sogar mehrfach bis gefühlt ständig.