Installation der Backupsoftware für Unix- und Linux-Rechner (Netbackup Version 8.2)

Vorbemerkungen

Alle Versionen von NetBackup vor Version 8.2 werden (Stand Herbst 2022) vom Hersteller nicht mehr unterstützt und haben bekannte, nicht geschlossene Sicherheitslücken. Setzen Sie ältere Versionen als 8.2 nicht mehr ein!

Für alle NetBackup-Installationen auf Ihren Backup-Clients gilt:

Wenn aus technischen oder kompatibilitäts-Gründen der Einsatz von älteren Versionen zwingend ist, folgende Hinweise:

Die meiste Software, einige Hundert Megabytes, wird unterhalb eines Verzeichnisbaums /usr/openv/ installiert. In einigen Verzeichnissen dort werden Schreibrechte benötigt, weil temporäre Daten oder Logfiles abgelegt werden (Listen von Hardlinks, Caches, Telemetriedaten). Weitere Daten werden unter /opt/ und /etc/ abgelegt. Die wichtigste zentrale Konfigurationsdatei ist /usr/openv/netbackup/bp.conf. Weitere Komponenten der Software werden in /opt/VRTSpbx/ und /etc/vx/ installiert. Seit Version 7.x der Software werden die Backup-Dienste auf Ihrem Server (dem Backup-Client) nicht mehr über (x)inetd gestartet, sondern laufen als eigenständige Daemonen und werden beim Rechnerstart vom init-System bzw. von systemd gestartet: bpcd (tcp Port 13782), vnetd (tcp Port 13724) und pbx_exchange (tcp Port 1556). Eine Absicherung dieser Dienste über die xinetd Konfiguration oder tcp-wrappers ist damit nicht mehr möglich. Konfigurieren Sie daher einen Firewall, der Zugriffe auf diese Dienste nur lokal (localhost und eigene IP-Adressen) und aus dem Backup-Netz 130.133.8.64/27 zulässt! Im Betrieb erzeugt die Software Logfileeinträge in /var/log/VRTSpbx, /usr/openv/logs/ und /usr/openv/netbackup/logs/. Bei Problemen kann die Software so konfiguriert werden, dass umfangreiche Logfiles anfallen. Ein DNS Cache liegt in /usr/openv/var/host_cache/.

Installation der Software

Die NetBackup-8.x Software unterstützt folgende Plattformen, genauer siehe hier: 32 bit Linux/Unix-Plattformen werden seit NetBackup-7 nicht mehr unterstützt. Die Installation besteht aus sechs Schritten: Die folgende Anleitung wurde am Beispiel einer openSUSE Tumbleweed Distribution erstellt, sollte aber sinngemäß auf alle Mac OS X, Linux- und Unix-Varianten passen. Wo uns bekannt, wird das Vorgehen um distributionsspezifische Hinweise erweitert.
Das Installationsskript von NetBackup ist ein Shellskript. Es werden distributionsspezifische Pakete (z.B. rpm) installiert, aber auch Programme außerhalb der postinstall-Skripte ausgeführt. Das Installationsprogramm versucht die für Ihre Distribution am besten geeignete Softwarevariante festzustellen und zu installieren. Es sollte also passieren, dass bei einer Fedora-, Rocky Linux- oder CentOS-Distribution die RedHat-Variante, bei Ubuntu die Debian Variante und bei einer Opensuse-Distribution die SLES Variante selektiert wird. Im Allgemeinen wird die automagische Empfehlung wohl die richtige sein.
Schritt 1: Feststellen der bisherigen Version und Vorarbeiten
Falls Sie bereits eine ältere Version der NetBackup-Software installiert hatten, werden die Konfigurationseinstellungen, z.B. in /usr/openv/netbackup/bp.conf übernommen und eventuell vorhandene Dateien /usr/openv/netbackup/exclude_list* beibehalten. Notieren Sie bitte die Version Ihrer bisherigen NetBackup-Software. Ihr bisheriger NetBackup Versionslevel ergibt sich aus dem Inhalt der Datei /usr/openv/netbackup/bin/version .

Bei zu alten oder zu neuen Linux Versionen könnten Kompatibilitätspakete ihrer Distribution für libstdc++ oder libc nötig sein. Dann erscheint schon während der Installation eine Fehlermeldung wie: 

/usr/openv/netbackup/bin/bmrsetupclient: error while loading shared libraries: libstdc++.so.5:
cannot open shared object file: No such file or directory
und selbst wenn die Meldung nicht erscheint, können die binaries nicht ausgeführt werden.
Ab NetBackup Version 8.2 wird die Kommunikation zwischen Backup-Client (Ihrem Rechner) und dem Backup-Server mit vom Backup-Server ausgestellten Zertifikaten authentifiziert. Bei Updates bisheriger (pre-Version 8.2) Clients wird das Clientzertifikat während der Installation automatisch erzeugt und vermutlich in /usr/openv/var/vxss/credentials/keystore/PrivKeyFile.pem abgelegt, nachdem Sie während der Installation den Fingerprint des Server-Zertifikats bestätigt haben: AE:03:CE:28:A9:6B:25:69:A5:FE:CC:B9:52:9A:CF:0E:4D:AD:7A:5D . Bei neuen Clients wird aber nach einem Authentifizierungstoken gefragt, bevor der Backup-Server das Client-Zertifikat ereugt. Installieren Sie dann ohne Authentifizierungstoken weiter und fragen Sie anschließend per E-Mail bei fab-service@zedat.fu-berlin.de nach einem Authentifizierungstoken. Wir schicken Ihnen dann das Token, dass aus 16 Großbuchstaben besteht.

Sie können erkennen, dass alle nötigen Bibliotheken vorliegen, wenn nach der Installation der Befehl ldd angewendet auf die Binaries bpcd, bpjava-msvc und bplist (aus /usr/openv/netbackup/bin/ ) und der Start von jbpSA keine Fehlermeldungen erzeugt.

Beachten Sie, dass von NetBackup offiziell nur die üblichen kommerziellen (inkl. Ubuntu) Distributionen unterstützt werden. Erfahrungsgemäß verursachen andere Distributionen aber keine unlösbaren Probleme.

Die Backup-Dienste werden beim Systemstart über die init-Skripte in /etc/init.d/ oder systemd gestartet. Ein (x)inetd wird nicht mehr benötigt, alte Einträge für NetBackup in /etc/xinit.d/ entfallen bzw. können gelöscht werden: vnetd, bpcd, bp*, vopied.

Wenn Sie einen Firewall verwenden, stellen Sie sicher, dass auch eingehende Verbindungen vom Backup-Netz zu den NetBackup-Dienstprogrammen auf Ihrem Rechner nicht blockiert sind:
Bei openSuSE vor 11.2 mit aktivem SuSEfirewall2 ergänzen Sie dazu beispielsweise die Zeile FW_SERVICES_EXT_TCP in der Datei /etc/sysconfig/SuSEfirewall2 um die vier Services "vnetd vopied bpcd pbx_exchanged bpjava-msvc"
Bei openSuSE ab 11.2 ergänzen Sie stattdessen die Zeile FW_CONFIGURATIONS_EXT in der Datei /etc/sysconfig/SuSEfirewall2 um den Namen netbackup, so dass sie beispielsweise aussieht wie FW_CONFIGURATIONS_EXT="sshd netbackup" und legen eine neue Datei /etc/sysconfig/SuSEfirewall2.d/services/netbackup an mit folgendem Inhalt: 

## Name: netbackup
## Description: Open ports for NetBackup

# space separated list of allowed TCP ports
TCP="bpcd vnetd veritas_pbx"
Dann starten Sie den Firewall bei allen openSuSE-Versionen neu: rcSuSEfirewall2 reload. Das ist weiter unten in Schritt 6 noch einmal beschrieben. (Hinweis: Wenn Sie den SuSE-Firewall bereits so konfiguriert haben, dass Sie EXT-, INT- und DMZ-Zonen unterscheiden, müssen Sie die Backup-Services für diejenige Zone freigeben, in der Sie das Backup-Netz 130.133.8.64/27 zu stehen haben.)
Die Zuordnungen der Backup-Services zu ihren Port-Nummern werden während der folgenden Installation in die Datei /etc/services oder /usr/etc/services nachgetragen, wenn sie dort noch nicht stehen. Bei openSuSE stehen sie dort schon. Dort ist für alle möglichen Dienste das Mapping von Dienstname zu Portnummer aufgelistet. Achtung! Ohne Firewall (lokal oder im Netzwerkrouter) öffnen Sie nun Ihren Rechner campusweit für Zugriffe auf die Backup-Dienstprogramme. Diese können Sicherheitslücken haben und einen Angriffsvektor für die Kompromittierung Ihres Rechners bilden, selbst wenn die Kommunikation zwischen Backup-Client und Backup-Server über Zertifikate gesichert ist. Ein Angriff auf ihren Rechner ermöglicht jedoch zumindest nicht das Löschen oder Verändern der angefertigten Backups.
Schritt 2: Herunterladen der Software
Falls Sie noch nicht eine 8.2 Version der Backup-Software installiert haben, laden Sie die für Ihr Betriebssystem passende tar.gz-Datei der Basissoftware NetBackup-8.2 von dieser Seite herunter.

Dann laden Sie das Hotfix Paket von derselben Seite herunter.

Vergewissern Sie sich, dass Sie in /tmp/ mindestens 14 GB und in /usr/ mindestens 1300 MB freien Platz haben. Sollte der Platz in /tmp/ nicht ausreichen, wählen Sie einen beliebigen anderen Ort als /tmp/ und verfahren sinngemäß. 1300 MB Platz in /usr/ für /usr/openv/ muss aber sein. 700 MB davon sind für das Java GUI in /usr/openv/java/, dass Sie bei Nichtbedarf auch löschen können.

Sie müssen Nutzer root sein, um die Software zu installieren: 

% id
uid=0(root) gid=0(root) groups=0(root)
Nach der Installation können Sie als beliebiger lokaler Nutzer Dateien, auf denen Sie Leserechte haben restaurieren in Verzeichnisse, auf denen Sie Schreibrechte haben, d.h. die Dateizugriffsrechte werden auch für Dateien im Backup gewährleistet.

Bei Mac OS X nehmen Sie die Installation vollständig innerhalb von Terminal.app vor, ihr Benutzer-Account muss über Administrator-Rechte verfügen.
Sie sollten die Checksummen der Archive mit den Angaben auf unserer Seite vergleichen, um sicherzustellen, dass alle Pakete vollständig und unversehrt heruntergeladen wurden. Für Suse sieht der Vorgang etwa so aus, für andere Unix-Varianten sinngemäß: 

[root]% cd /tmp
[root]% wget http://backup.zedat.fu-berlin.de/NetBackup_8.2_CLIENTS2.tar.gz
[root]% wget http://backup.zedat.fu-berlin.de/NB_8.2_ET4078504_1.zip
[root]% ls -l NetBackup_8.2_CLIENTS2.tar.gz NB_8.2_ET4078504_1.zip
-r--r--r-- 1 root root   31472701 Sep  8 12:17 NB_8.2_ET4078504_1.zip
-r--r--r-- 1 root root 4050534603 Sep  8 12:25 NetBackup_8.2_CLIENTS2.tar.gz
[root]% sha256sum NB_8.2_ET4078504_1.zip NetBackup_8.2_CLIENTS2.tar.gz
25902d91167b929b589ad098241c6462dfaf785e818afc2a8b3e0b04115bc412  NB_8.2_ET4078504_1.zip
eba08a9f99f05636436aed269478fcb6e3f8c82b94f579daa6f2a5a8f7cbc77c  NetBackup_8.2_CLIENTS2.tar.gz
[root]% tar -xvzf NetBackup_8.2_CLIENTS2.tar.gz
[root]% unzip NB_8.2_ET4078504_1.zip
[root]% rm -f NetBackup_8.2_CLIENTS2.tar.gz NB_8.2_ET4078504_1.zip

Wenn Sie nicht unter Linux arbeiten und beim Auspacken der tar-files die Fehlermeldung ././@LongLink: typeflag 'L' not recognized, converting to regular file oder ähnlich erscheint, benutzen Sie bitte GNU-tar zum Auspacken.
Unter Mac OS X laden Sie Dateien mit curl herunter und berechnen die MD5-Summen mit dem Kommando openssl md5 NetBackup_8.2_CLIENTS2.tar.gz.
Die 8.2-Basissoftware liegt nun in /tmp/NetBackup_8.2_CLIENTS2/. Wenn die Checkssummen nicht stimmen, vergleichen Sie die Dateigrößen, vielleicht wurde eine Datei nicht vollständig übertragen. Stimmen die Dateigrößen oder Checksummen nicht überein, sollten Sie auf keinen Fall weitermachen!

Schritt 3: Installation der NetBackup-8.2 Basissoftware
Die Basissoftware alleine ist bereits funktionsfähig. Trotzdem sollten Sie nach diesem Schritt noch das Hotfixpaket installieren, um eine sicherere und fehlerärmere Software zu erhalten.

Kopieren Sie bei Vorhandensein einer früheren Version der NetBackup-Software vorsichtshalber eine Kopie der Datei /usr/openv/netbackup/bp.conf und möglicher Exclude-Listen /usr/openv/netbackup/exclude_list* an einen anderen Ort. Während der Installation könnten sonst möglicherweise weitere Einträge in der Datei verloren gehen. Normalerweise passiert das nicht.

Starten Sie das Installationsskript mit einer bourne-kompatiblen shell und folgen Sie den Anweisungen. Hier am Beispiel von openSuse. Den vom Installationsskript vorgeschlagenen Rechnernamen Ihres Rechners ersetzen Sie bitte durch den voll qualifizierten Namen, d.h. Name plus Domain: 

[root]% cd /tmp/
[root]% sh ./NetBackup_8.2_CLIENTS2/install

Veritas Installation Script
Copyright (c) 2019 Veritas Technologies LLC. All rights reserved.


        Installing NetBackup Client Software


Do you wish to continue? [y,n] (y) y

...

Do you want to install the NetBackup client software for this client? [y,n] (y) y

This package will install Linux/Debian2.6.32 client.
This package will install NetBackup client 8.2.

Enter the name of the NetBackup master server : hoovix.zedat.fu-berlin.de

Would you like to use "examplehost" as the configured
name of the NetBackup client? [y,n] (y) n

Enter the name of this NetBackup client : examplehost.chemie.fu-berlin.de
(Hier setzen Sie den DNS Namen Ihres Rechners mit Domain ein ^^^^^^^^^)
...
Checking connectivity to the master server.
...
Connectivity established.

Getting CA certificate mode from master server.
...
CA Certificate received successfully from server hoovix.zedat.fu-berlin.de.
...
Master server [hoovix.zedat.fu-berlin.de] reports CA Certificate fingerprint
[AE:03:CE:28:A9:6B:25:69:A5:FE:CC:B9:52:9A:CF:0E:4D:AD:7A:5D].

Is this correct? [y,n] y

...
Enter the authorization token for hoovix.zedat.fu-berlin.de or q to skip: 
q

No authorization token has been provided but it is required for this host.
Do you wish to proceed with installation even though NetBackup will not operate? [y,n] (n) y
...

Client binaries are located in /opt/NetBackup_8.2_CLIENTS2/NBClients/anb/Clients/usr/openv/netbackup/client/Linux/Debian2.6.32.
...
Starting vnetd...
Starting bpcd...
...

File /usr/openv/tmp/install_trace.4120 contains a trace of this install.

Die relevanten Manuals und ein Paket mit manpages finden Sie auf unseren Webseiten.

Nun können Sie die tar.gz-Datei und die 8.2-Quellen der Basissoftware wegwerfen: 

[root]% cd /tmp
[root]% rm -rf NetBackup_8.2_CLIENTS.tar.gz NetBackup_8.2_CLIENTS/
Wurde während der Installation das Authorization Token angefordert und Sie hatten noch keins, und Sie haben jetzt eines von uns erhalten, fordern Sie das Client-Zertifikat jetzt an: 
[root]% /usr/openv/netbackup/bin/nbcertcmd -getCertificate -token

Ändern Sie nun bitte die Netzwerk-Puffer-Größe für effizientere Datenübertragungen: 

[root]%  echo 2097152 > /usr/openv/netbackup/NET_BUFFER_SZ

Während der Installation wurden Verzeichnisse /usr/openv/ /opt/VRTSpbx/ /opt/pdde/ /etc/vx/ angelegt, die in weiteren Unterverzeichnissen alle benötigten Dateien enthalten. Außerdem werden in /etc/init.d/ zwei Startskripte netbackup und vxpbx_exchanged abgelegt, die die Backup-Dienste zukünftig beim Rechnerstart als Daemonen starten. Bei systemd-Systemen werden diese Dateien entsprechend eingebunden. Es werden keine (x)inetd-Konfigurationen mehr angelegt, d.h. die NetBackup-Dienste laufen permanent.
Im netbackup-init-Skript werden die zwei Dienste bpcd (Port 13782/tcp) und vnetd (Port 13724/tcp) gestartet. Im vxpbx_exchanged-init-Skript wird der Dienst pbx_exchange (Port 1556/tcp) gestartet.
Auch bei Mac OS X wird die Software beim Booten des Rechners automatisch über ein vom Installer angelegtes StartupItem "netbackup" im Verzeichnis /Library/StartupItems/ gestartet.

Die Man-Pages (als HTML und nroff) und die PDF-Handbücher finden Sie hier/. Kopieren Sie bei Bedarf die manpages in Ihren bevorzugten Ordner für eigene manpages, beispielsweise /usr/local/man/man1/ und fügen Sie ggf. den Pfad dazu in den Suchpfad für manpages ein: 

[root]%  cd /tmp
[root]%  wget http://www.zedat.fu-berlin.de/fab/man/8.2/NetBackup-Man-8.2.tar.gz
[root]%  cd /usr/local/man/man1
[root]%  tar -xvzf /tmp/NetBackup-Man-8.2.tar.gz
[root]%  rm /tmp/NetBackup-Man-8.2.tar.gz
Schritt 4: Upgrade der Basissoftware auf den aktuellen Patchlevel
Damit die Software stabil und halbwegs sicher läuft, sollte das aktuelle Maintenance-Pack gleich hinterher installiert werden. Bitte schauen Sie gelegentlich hier nach neuen Maintenance-Packs. Vor der Installation der Patches müssen die Dienste gestoppt werden. Hier werden unter Umgehung des Paketmanagements einzelne binaries (z.B. bpcd) und Bibliotheken ausgetauscht.

Sie müssen wieder nur die markierten Worte eingeben: 

[root]% systemctl stop netbackup
[root]% systemctl stop vxpbx_exchanged
[root]% cd /tmp
[root]% chmod +x eebinstaller*
[redhat, ubuntu, debian?]% ./eebinstaller_4078504_1_linuxR_x86_2_6_32
[suse]% ./eebinstaller_4078504_1_linuxS_x86_3_0_76
...
[root]% systemctl start vxpbx_exchanged
[root]% systemctl start netbackup
Schritt 5: Entfernen der Installationspakete
Alle Installationspakete können Sie jetzt löschen. Die deinstallierte NetBackup-Software einer früheren Version wird außerdem gepackt nach /usr/openv/pack und belegt dort weit mehr als 100 MB. Die sollten ebenso gelöscht werden. Manche Upgrades hinterlassen überflüssige _old und _new Dateien in den Installationspfaden. Es verbleiben dann etwa 500 bis 800 MB in /usr/openv: 
[root]% cd /tmp
[root]% rm -rf NB_* Vrts* eebinstaller* /tmp/nbeeb.client_4078504.1.8.2_*.sja
[root]% rm -rf /usr/openv/pack/ /usr/openv/.phistory
[root]% find /usr/openv \( -name '*_old' -o -name '*_new' \) -print -delete
/usr/openv/netbackup/bin/bpcd_new
/usr/openv/netbackup/bin/bpcd_old
/usr/openv/netbackup/bin/vnetd_new
...
Schritt 6: Überprüfen und Anpassen der Konfiguration, Absichern der Dienste (Firewall)
Das Backup kann nur funktionieren, wenn folgende Bedingungen erfüllt sind:
Prüfen Sie nach der Installation das Vorhandensein und den Inhalt der Konfigurationsdatei /usr/openv/netbackup/bp.conf und gleichen Sie den Inhalt mit einer möglicherweise bereits von einer früheren NetBackup-Installation bestehenden Version dieser Datei ab. Der Name des Backup-Servers muss buchstabengetreu hoovix.zedat.fu-berlin.de lauten und die CLIENT-Zeile muss mindestens den Namen ihres Backup-Clienten in Kleinbuchstaben mit Domain (FQDN) enthalten: 
SERVER = hoovix.zedat.fu-berlin.de
CLIENT_NAME = rechnername.mit.domain.in.kleinschreibung
Statt rechnername.mit.domain.in.kleinschreibung setzen Sie hier den Namen Ihres Rechners mit voller Domain in Kleinschreibung ein. Wenn Sie die Angabe der DNS-Domain vergessen und rechnername anstatt rechnername.mit.domain.in.kleinschreibung schreiben, werden Sie zumindest keine Restores machen können.

Wenn vorher bereits eine ältere Version der Software installiert war, ergänzen Sie fehlende Einträge aus der ursprünglichen bp.conf, z.B. die Hinweise auf ein bestimmtes zu benutzendes Netzwerkinterface oder Debug-Parameter.

In der Informationsdatei /etc/services oder /usr/etc/services müssen die Dienste bpcd, vnetd, bpjava-msvc und veritas_pbx mit den passenden Ports aufgeführt sein und ggf. ergänzt werden: 

[root]% egrep '(bpcd|vnetd|bpjava-msvc)' /etc/services
Ergänzen Sie fehlende Einträge wie folgt: Die Datei /etc/services muss sinngemäß mindestens folgende Einträge enthalten: 
#
# ZEDAT NetBackup services
#
bpcd        13782/tcp    # ZEDAT Netbackup client daemon
vnetd       13724/tcp    # ZEDAT Netbackup vnetd
bpjava-msvc 13722/tcp    # ZEDAT Netbackup Java GUI
veritas_pbx  1556/tcp    # VERITAS Private Branch Exchange

Um die Backup-Dienste beim Systemstart zu starten, müssen Sie bei Suse-Linux beispielsweise eingeben 

init-System:
[root@suse]% chkconfig netbackup on
[root@suse]% chkconfig vxpbx_exchanged on
systemd-System:
[root@suse]% systemctl enable netbackup
[root@suse]% systemctl enable vxpbx_exchanged
Bei anderen alten Linux-Distributionen reicht dazu die passende Verlinkung der init.d-Skripte in die rcx.3 Verzeichnisse aus, die NetBackup bei der Installation selbst vollzieht: 
 Adding system startup for /etc/init.d/netbackup ...
   /etc/rc0.d/K01netbackup -> ../init.d/netbackup
   /etc/rc1.d/K01netbackup -> ../init.d/netbackup
   /etc/rc2.d/S95netbackup -> ../init.d/netbackup
   /etc/rc3.d/S95netbackup -> ../init.d/netbackup
   /etc/rc5.d/S95netbackup -> ../init.d/netbackup
Sie erkennen das Laufen der drei Dienste an den Ausgaben des ps-Befehls: 
# ps -lfC bpcd,vnetd,pbx_exchange
F S UID        PID  PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD
1 S root      1202     1  0  80   0 - 10522 poll_s 11:06 ?        00:00:00 /opt/VRTSpbx/bin/pbx_exchange
1 S root      1258     1  0  80   0 - 14612 poll_s 11:06 ?        00:00:00 /usr/openv/netbackup/bin/vnetd -standalone
1 S root      1261     1  0  80   0 - 17257 poll_s 11:06 ?        00:00:00 /usr/openv/netbackup/bin/bpcd -standalone
Falls Ihre Installation die Dienste nicht über init.d sondern weiterhin über (x)inetd startet, prüfen Sie die Installation wie in der Anleitung für die Version 6.5 dieser Software.

Mac OS X

Die Aufgaben des (x)inetd wurden ab Version Mac OS X 10.5 vom launchd übernommen. In der Zedat wurde die Installation mit Mac OS X 10.6.8 erfolgreich durchgeführt. Da NetBackup 7.x nun keinen (x)inetd mehr verwendet, nutzt NetBackup auch keinen launchd mehr. Die Dienste werden beim Systemstart über das StartupItem "netbackup" gestartet. Im graphischen Konfigurationstool von Mac OS X Server namens Server Admin, kann der Service Firewall gestartet werden. Unter Firewall --> Settings --> Services können dann Ports freigegeben werden. Geben Sie dort bpcd (13782/tcp) und vnetd (13724/tcp) für Zugriffe von Außen frei,

Exclude-Listen

Die Pfade, die von Ihrem Rechner im Backup sind, sind nur auf dem Backup-Server(!) konfiguriert. Dabei werden symbolische Links, Netzwerklaufwerke (nfs, cifs, sshfs, ...) und Mountpoints in Unterverzeichnissen nicht verfolgt. Enthalten die gesicherten Pfade Verzeichnisse oder Dateimuster, die nicht gesichert werden sollen, müssen diese in eine Datei /usr/openv/netbackup/exclude_list aufgenommen werden. Das Upgrade einer Installation lässt diese Datei unangetastet. Diese Datei kann beispielsweise wie folgt aussehen: 

*.tmp
*.[mM][pP]3
[cC]ache/*
/tmp/*
Im Regelfall empfehlen und erwarten wir von unseren Kunden die Konfiguration dieser Datei!
Ausführlichere Informationen finden Sie im Handbuch und in unseren FAQs.

Die Nutzer-Oberflächen bp und jbpSA

Das alte Motif-GUI aus NetBackup bis Version 4.5 xbp entfiel in NetBackup ab Version 6. Es wird ersetzt durch ein Java-GUI /usr/openv/netbackup/bin/jbpSA, falls das für Ihr Betriebssystem zur Verfügung steht. Das curses-Interface /usr/openv/netbackup/bin/bp und die Kommandozeilenwerkzeuge stehen immer zur Verfügung, auch wenn es wie bei Mac OS X kein Java-GUI gibt.

  Firewall konfigurieren

Auf die nun auf Ihrem Rechner installierten Dienste soll nur der Backup-Server (und der eigene Rechner) zugreifen, sichern Sie Ihre Dienste daher ab. Die Backup-Dienste berücksichtigen keine tcp-wrappers Konfiguration ( /etc/hosts.allow u.s.w) mehr, da sie nicht mehr über den (x)inetd gestartet werden. Jede Distribution hat jedoch zumindest einen Personal Firewall, der die Dienste zuverlässig schützen kann.

Ihren Firewall konfigurieren Sie so, dass ESTABLISHED-Verbindungen immer durchgelassen werden. Außerdem erlauben Sie NUR aus dem Backup-Netz 130.133.8.64/255.255.255.224 (in anderer Schreibweise 130.133.8.64/27 ) Verbindungen auf die Ports der Backup-Dienste (s.o.: 13724, 13782 und 1556).

Bei Suse-Linux 9 bis 11.4 und SLES 9 und 10 mit aktiviertem Firewall "SuSEfirewall2" erweitern Sie in der Datei /etc/sysconfig/SuSEfirewall2 die Liste der Variable FW_SERVICES_EXT_TCP um die vier NetBackup-Dienste vnetd, vopied, bpcd und bpjava-msvc, also beispielsweise: 

FW_SERVICES_EXT_TCP="ssh www"
ändern zu
FW_SERVICES_EXT_TCP="ssh www vnetd bpcd veritas_pbx"

Bei openSuSE ab 11.2 und SLES 11 erweitern Sie stattdessen in der Datei /etc/sysconfig/SuSEfirewall2 die Liste der Variable FW_CONFIGURATIONS_EXT um den String netbackup, also beipielsweise 
FW_CONFIGURATIONS_EXT="sshd"
ändern zu
FW_CONFIGURATIONS_EXT="sshd netbackup"
und legen eine Datei /etc/sysconfig/SuSEfirewall2.d/services/netbackup an mit dem Inhalt 
## Name: netbackup
## Description: Open ports for NetBackup

# space separated list of allowed TCP ports
TCP="bpcd vnetd veritas_pbx"

Dann starten den Firewall neu: 
[root]% SuSEfirewall2 restart

Den ufw Firewall bei Ubuntu ab Version 9.04 konfigurieren Sie wie folgt. Hinweise zur Konfiguration finden Sie im Ubuntu-Wiki und in der man page. Legen Sie eine Datei /etc/ufw/applications.d/netbackup-clients.ufw an mit dem Inhalt 

[NetBackupClient]
title=ZEDAT NetBackup-Client
description=Firewall Rules for ZEDAT NetBackup-Client 6.x and 7.x
ports=bpcd,vnetd,bpjava-msvc,veritas_pbx/tcp
Die Datei /etc/services muss dazu folgende Zeilen mit enthalten, gegebenenfalls fügen Sie diese Zeilen ein: 
veritas_pbx     1556/tcp    # VERITAS Private Branch Exchange
veritas_pbx     1556/udp    # VERITAS Private Branch Exchange                        
bpcd            13782/tcp  # VERITAS NetBackup
bpcd            13782/udp  # VERITAS NetBackup
vnetd           13724/tcp  # Veritas Network Utility
vnetd           13724/udp  # Veritas Network Utility
bpjava-msvc     13722/tcp  # BP Java MSVC Protocol
bpjava-msvc     13722/udp  # BP Java MSVC Protocol
Laden Sie den firewall beim Systemstart, verifizieren Sie die NetBackup-Regeln und stellen Sie sicher, dass diese Liste verstanden wird: 
# service ufw start
# ufw enable
# ufw app list
Verfuegbare Anwendungen:
  ...
  NetBackupClient
  ...
# ufw app update NetBackupClient
Regeln fuer Profil 'NetBackupClient' aktualisiert
Neustart der Firewall übersprungen
# ufw app info NetBackupClient
Profil: NetBackupClient
Titel: ZEDAT NetBackup-Client
Beschreibung: Firewall Rules for ZEDAT NetBackup-Client 6.x and 7.x

Ports:
  bpcd,vnetd,bpjava-msvc,veritas_pbx/tcp
Machen Sie die Regeln aktiv und verifizieren dies: 
# ufw allow from 130.133.8.64/27 to any app NetBackupClient
Regel hinzugefuegt
# ufw status
Status: active

Zu                         Aktion      Von
--                         ------      ---
...
NetBackupClient            ALLOW       130.133.8.64/27
...
Ihre Regeln sind nun in der Datei /lib/ufw/user.rules gespeichert und werden beim nächsten Systemstart erneut aktiv: 
# grep 130.133 /lib/ufw/user.rules
### tuple ### allow tcp 1556,13722,13724,13782 0.0.0.0/0 any 130.133.8.64/27 NetBackupClient - in
-A ufw-user-input -p tcp -m multiport --dports 1556,13722,13724,13782 -s 130.133.8.64/27 -j ACCEPT -m comment --comment 'dapp_NetBackupClient'
Achtung: Bietet Ihr Rechner weitere Dienste an (z.B. ssh, http) und sind keine Regeln dafür hinterlegt, sind diese Dienste nun blockiert. Mit ufw reset setzen Sie alle Regeln auf Auslieferungszustand zurück und mit ufw disable schalten Sie den Firewall komplett aus.

Für ipfilters unter FreeBSD wurde folgende Konfiguration getestet: 

oif="xl0"            # name of the outbound interface
myip="xxx.yy.zz.abc"     # my static IP address from ISP
/sbin/ipf -Fa -f - << EOF
...

# Allow out Zedat Netbackup
pass out log first quick on $oif proto tcp from $myip to 130.133.8.64/27 flags S keep state             
pass in log first quick on $oif proto tcp from 130.133.8.64/27 to $myip port = 13782 flags S keep state
pass in log first quick on $oif proto tcp from 130.133.8.64/27 to $myip port = 13724 flags S keep state
pass in log first quick on $oif proto tcp from 130.133.8.64/27 to $myip port = 1556 flags S keep state

EOF

Lassen Sie außerdem bei bpjava-msvc und vnetd Verbindungen von Ihrer eigenen IP-Adresse zu, sonst können Sie sich nicht in das Java-GUI jbpSA einloggen (das es bei Mac OS X, Irix und FreeBSD sowieso nicht gibt)!

Die Uhrzeit auf Ihrem Rechner muss unbedingt richtig gehen, damit das Backup korrekt funktioniert. Richten Sie einen ntp-Dienst ein, der die Uhr regelmäßig mit dem Time-Server time.fu-berlin.de abgleicht oder starten sie stündlich einen cronjob: Für den Cronjob tragen Sie in die crontab von root ("crontab -e") sinngemäß folgende Zeile ein: 

13 * * * * /usr/sbin/ntpdate time.fu-berlin.de > /dev/null
um 13 Minuten nach jeder vollen Stunde die Uhrzeit zu justieren.

Holen Sie Dateien mit Zeitstempeln aus der Zukunft in die Gegenwart zurück, damit Sie bei einem Restore die richtigen Versionen zurückerhalten und die Dateien nicht jeden Tag erneut im Backup landen. Solche Dateien kann man z.B. wie in unseren FAQs beschrieben behandeln.

Schritt 7: Gewissenhafte Lektüre der manpages und Handbücher
Die manpages (als HTML und die nroff-Quellen) und die Handbücher im PDF-Format erhalten Sie auf unserer Doku-Seite.
Fertig!
Die Installation ist jetzt vollendet.
Achtung!
Erst nach einer Mitteilung an uns können wir Ihren Backup-Client aktivieren. Ohne diese Mitteilung an uns wird kein Backup angefertigt!

Ergänzende Hinweise

Wie erfahre ich, ob das Backup wirklich funktioniert?

Wenn Sie Ihren Rechner beim Backupservice angemeldet haben, teilen Sie uns zwei E-Mail-Adressen als Ansprechpartner mit. Gelingt ein Backup nicht, wird an diese Adressen am nächsten Morgen automatisch eine Meldung gesendet.

Falls Sie wochenlang auf diese Meldungen nicht reagieren, weil Sie gerade auf Dienstreise in Afrika sind und Ihre Vertretung eine Krise hat, kann Ihr Backup-Client vorläufig aus dem Backupdienst ausgeschlossen werden. In keinem Fall gehen die Daten im Backup vor Ablauf Ihres Haltbarkeitsdatums (bei automatischen Backups in der Regel drei Monate für Full Backups) verloren.

Es gibt die Möglichkeit, unmittelbar nach jedem Backup(-Versuch) eine ausführliche Statusmeldung zugeschickt zu bekommen, siehe hier. Melden Sie sich dazu bei uns.

Sicherheit

Die Mitarbeiter des Backupdienstes müssen aus technischen Gründen gelegentlich Einsicht in die Liste der Dateinamen einzelner Backups nehmen. Der Inhalt aller gesicherten Dateien wird nach kurzer Verweildauer im Platten-Cache des Backup-Servers auf Magnetbänder in die angeschlossene Tape-Library transferiert und wird nie von uns inspiziert.

Falls notwendig können alle Dateien zusätzlich verschlüsselt übertragen und gespeichert werden. Das belastet jedoch die CPU des Backup-Clients stark und limitiert die Datenrate, so dass das oft nicht empfehlenswert ist. Niemand Drittes kommt über den Backup-Service an Ihre Daten. Alte oder defekte Bänder werden (wenn möglich) mit Zufallsdaten überschrieben und über einen zertifizierten Dienstleister vernichtet.

ergänzende Hinweise

Für Clients, die die Netbackupsoftware von einem Server mounten, ist zu beachten, daß die Konfigurationsdatei /usr/openv/netbackup/bp.conf, die Logfiles, Caches und tmp Files und die Dateien mit den Clientzertifikaten für jeden Rechner spezifisch sind, betroffen sind die folgenden Verzeichnisse.

Folgende Dateien oder Verzeichnisse werden im Regelbetrieb der Software u.U. beschrieben, sollten also nicht auf einem Read-Only Filesystem liegen: 

/usr/openv/logs/
/usr/openv/tmp/
/usr/openv/var/
/usr/openv/netbackup/logs/
/opt/VRTSpbx/log/
Sie können die bp.conf und die Log-Verzeichnise über symbolische Links beliebig umleiten.

Rechner mit mehreren Netzwerkinterfaces

Sie können die Backup-Software an ein bestimmtes Netzwerkinterface binden. Das kann erforderlich sein, wenn Ihr Rechner über mehrere Netzwerkinterfaces verfügt. Verwenden Sie dazu in der Konfigurationsdatei bp.conf eine zusätzliche Zeile 
REQUIRED_INTERFACE = aaa.bbb.ccc.ddd
wobei Sie aaa.bbb.ccc.ddd durch die IP-Nummer des gewünschten Interfaces ersetzen.

Alias Namen im Nameserver

Falls Ihr Rechner im Nameservice Aliasnamen eingetragen hat, dürfen diese nicht in der Konfigurationsdatei /usr/openv/netbackup/bp.conf auftauchen. Nur der echte Name ist hier gültig. Den echten, voll qualifizierten Namen können Sie beim Nameserver mit dem Kommando nslookup erfragen. Betrachten Sie beispielsweise folgenden Dialog: 
% nslookup wurps.zedat.fu-berlin.de
Server:  ns1.fu-berlin.de
Address:  160.45.8.8

Name:    wurps.cis.fu-berlin.de
Address:  160.45.12.166
Aliases:  wurps.zedat.fu-berlin.de
Der Name wurps.zedat.fu-berlin.de ist nur ein alias auf wurps.cis.fu-berlin.de. In der bp.conf muß in diesem Falle also stehen: 
SERVER = hoovix.zedat.fu-berlin.de
CLIENT_NAME = wurps.cis.fu-berlin.de

Kopieren der Installation

Wenn Sie weitere Rechner durch Klonen oder Kopieren der Festplatte(npartition) eines Rechners mit bestehender Netbackupinstallation einrichten, müssen Sie die Individualität einiger Dateien sicherstellen: Andernfalls wird das Backup sowohl auf dem alten als auch auf dem neuen Rechner nicht mehr funktionieren. Außerhalb von /usr/openv/ liegen weitere notwendige Dateien in /etc/vx/, in /opt/VRTSpbx/ und im Init-Verzeichnis /etc/init.d/. Finden Sie weitere Konigurationsdateien mit dem Befehl find /usr/openv -name '*.conf'. Im Allgemeinen bleiben diese unverändert.

Diese Anleitung wurde erstellt in Q4/2022 und zuletzt Q4/2022 überarbeitet. Wenn Sie bei der Installation der Software relevante Abweichungen zu dieser Anleitung festgestellt haben, würden wir uns über eine Rückmeldung freuen.