Rechteprobleme mit Backitup und NFS NAS sicherung

Thomas Braun

@Termina
Hängt halt davon ab, was da an Hardware zur Verfügung steht.
Ich mag z. B. gerne native Installationen, ohne VM oder Container-Gedöns.
Dann kämpft man nicht auch noch mit virtualisierter oder containerisierter Hard- und Software.

Wenn es unbedingt sein muss:
Debian 'Buster' 10 in einer VM.

Homoran

@Termina sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

Es gibt ja mittlerweile soviele How To´s und Videos

vergiss die!

@Termina sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

eue VM und Iobroker dann auf welcher Distribution

Debian 10

und dann curl -sLf https://iobroker.net/install.sh | bash -

fertig!

XxJooO

@Homoran ,

das mit dem Slash habe ich drin, siehe hier. Es funktioniert einwandfrei...

Homoran

@XxJooO sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

das mit dem Slash habe ich drin,

Passt!
nachdem ich jetzt den Pfad gesehen habe, muss der bei NFS wohl doch rein

XxJooO

Ich zweifle auch etwas daran, dass es mit VM oder LXC zu tun hat. Soweit ich mich erinnere muss man doch, wenn man sich per SSH auf der ioBroker Maschine befindet, einen mount Befehl absetzen können, der dem des backitup Adapter ähnlich oder sogar genau gleich ist. Dann muss der mount funktionieren. Geht das nicht liegt es an der eingegebenen Adresse die auf das NAS zeigt - oder an den falschen Rechten auf dem NAS.

@Thomas-Braun , kannst Du nicht mal kurz einen Befehl konstruieren, der einen mount erlauben kann? Mir fehlen die tiefgreifenden Linux-Kenntnisse...

Thomas Braun

@XxJooO
Hatte ich oben schon geschrieben:

sudo mount -t nfs 10.10.0.10:/backups /var/backups

Absicherung nicht per user/kennwort sondern per kerberos.
Siehe
https://forum.proxmox.com/threads/trying-to-mount-an-nfs-share-with-username-password.44068/

nfs version 3 does not have user/password authentication, AFAIK this only works with nfs 4 and kerberos and even then you do not specify the user and password via the mounting
but this happens via a kerberos ticket

One sane way to manage an NFS network is to have the same uids across all systems. For large networks, this is best done with a distributed authentication mechanism such as NIS, Kerberos, or LDAP.

Welche UID sind denn da auf dem NFS-Server aktiv?

Termina

Ich will mal kurz eine Rückmeldung geben!

Ich bin nun endlich dazu gekommen mal probeweise eine VM mit iobroker ganz frisch anzulegen! Ganz normal iobroker (wie gehabt) per Anleitung installiert, Backitup-Adapter installiert, NAS Daten eingegeben, gespeichert und nun funktioniert es! Ich habe weder etwas an der config der Synology noch irgendetwas anderes seitdem geändert... Misteriös!

@Homoran @simatec @Thomas-Braun und all die anderen - ich danke euch trotzdem für diesen tollen Einsatz! Ihr seid super hier in der Community!

simatec

@Termina
Halt Container ... bin da auch kein Freund von ... aber es gibt dort sich auch ne simple Lösung.
Ich arbeite aber selber auch nur nur mit Proxmox und VM

Termina

@simatec
So, nun konnte ich noch ein wenig "rumspielen".

Auf dem Container bekomme ich für das Wiederherstellen eine Verbindung und kann entsprechend die Ordnerinhalte auf meinem NAS sehen.
Möchte ich nun dort allerdings ein Backup erstellen, dann kommen wieder die Fehlermeldungen

Gestartet...
[DEBUG] [mount] - first mount attempt with smb option failed. try next mount attempt without smb option ...
[ERROR] [mount] - [undefined Error: Command failed: sudo mount -t cifs -o username=iobroker,password=****,rw,file_mode=0777,dir_mode=0777 //192.168.178.20/backup/iobroker/standard/ /opt/iobroker/backups
mount error(1): Operation not permitted
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)

[ERROR] [mount] - [IGNORED] Error: Command failed: sudo mount -t cifs -o username=iobroker,password=****,rw,file_mode=0777,dir_mode=0777 //192.168.178.20/backup/iobroker/standard/ /opt/iobroker/backups
mount error(1): Operation not permitted
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs) and kernel log messages (dmesg)

[DEBUG] [iobroker] - host.IoBroker-main 10685 states saved

[DEBUG] [iobroker] - host.IoBroker-main 8703 objects saved

[DEBUG] [iobroker] - Backup created: /opt/iobroker/backups/iobroker_2020_11_28-12_23_49_Nuc_IoBroker_LXC_backupiobroker.tar.gz

[DEBUG] [iobroker] - done
[ERROR] [historyDB] - [IGNORED] No source for compress!
[DEBUG] [cifs] - done
[ERROR] [clean] - Backup files not deleted from /opt/iobroker/backups because some errors.
[DEBUG] [clean] - done
[DEBUG] [telegram] - done
[DEBUG] [history] - backitup.0.history.html
[DEBUG] [history] - backitup.0.history.json
[EXIT] 0

Da bin ich nun echt raus! Backup local scheint alles gut zu sein, aber beim NAS halt nicht...

Ist das ein "Rechteproblem" beim Schreiben? Aber das haben wir doch auch schon versucht zu lösen, indem wir die Rechte mal auf 777 gesetzt hatten. Hmm

Cumulus 0

@termina Ich hatte gestern das gleiche Problem mit der Fehlermeldung.
Nach einigem Probieren war die Ursache gefunden. Wenn man sich strikt an die Ausfüllanweisung von backitup hält, funktioniert das ohne Fehlermeldung.
Der Knackpunkt war folgender: Unter Host darf nur die IP Adresse oder der Hostname stehen, Beispiel //absd oder //123.123.123.1, ohne Slash am Ende.
Unter Pfad steht nur der Pfad, Beispiel NAS/rout_bak/RaspBack . Ohne führenden Slash oder Slash am Ende. Backitup setz gnadenlos Slashes ein, auch wenn schon welche gesetzt wurden.
Wenn man das nicht macht, steht irgendwo ein verweister Slash, der zu der Fehlermeldung führt. Erstellt und kopiert wurde die Sicherungsdatei trotzdem.

Setzt man unter Host den kompletten Pfad ein, funktioniert das nicht mehr. Backitup hat diesbezüglich keinerlei Fehlertoleranz.

Dazu gehört natürlich, das man einen Benutzer mit Passwort sowie eine Freigabe auf der NAS eingerichtet hat. Bei mir ist das einfach eine HD, die per USB an der Fritzbox hängt. Für Sicherungen funktioniert das problemlos.

Oromis

@luft-post Hallo,

ich habe gerade die Sicherung mit Backitup zu meiner Synology NAS per NFS hinbekommen.

Um nicht als root eine NFS-Verbindung herstellen zu müssen, muss auf dem Host (bei mir der Rpi) die fstab in /etc/fstab bearbeitet werden.

Hier ist mein Eintrag: "users" führt dazu, dass sämtliche user auf dem Rpi mounten dürfen. Die NFS-Version habe ich in der NAS-Oberfläche ausgewählt. Auf Wunsch kann ich Screenshots senden.

NAS:/volume1/backup     /opt/iobroker/backups   nfs     auto,nfsvers=4.1,users,defaults,rsize=32768,wsize=32768,intr 0  0

Dann war das Problem, dass Backitup nicht die Rechte hatte in backups zu schreiben, sobald eine NFS-Verbindung da war (ohne ging es). Ich habe mit

ls -l /opt/iobroker

gesehen, dass in den Ordner backups gar niemand schreiben darf:

total 320
d---------    4 root     root       4096 Nov 30 20:25 backups
-rwxrwxrwx+   1 iobroker iobroker    237 Nov 16 11:51 INSTALLER_INFO.txt
lrwxrwxrwx    1 iobroker iobroker     22 Nov 16 11:51 iob -> /opt/iobroker/iobroker
-rwxr-xr-x+   1 iobroker iobroker    309 Nov 16 11:51 iobroker
drwxrwxr-x+   8 iobroker iobroker   4096 Nov 30 18:11 iobroker-data
drwxrwxr-x+   2 iobroker iobroker   4096 Nov 30 20:44 log
drwxrwxr-x+ 502 iobroker iobroker  20480 Nov 25 22:34 node_modules
-rw-rwxr--+   1 iobroker iobroker    492 Nov 25 22:34 package.json
-rw-rwxr--+   1 iobroker iobroker 281765 Nov 25 22:34 package-lock.json

Also habe ich die read/write-Rechte verändert.

Im /opt/iobroker Verzeichnis dazu

sudo chmod 777 backups/

eingeben.

Nun steht folgendes:

drwxrwxrwx    4 root     root       4096 Nov 30 20:25 backups
-rwxrwxrwx+   1 iobroker iobroker    237 Nov 16 11:51 INSTALLER_INFO.txt
lrwxrwxrwx    1 iobroker iobroker     22 Nov 16 11:51 iob -> /opt/iobroker/iobroker
-rwxr-xr-x+   1 iobroker iobroker    309 Nov 16 11:51 iobroker
drwxrwxr-x+   8 iobroker iobroker   4096 Nov 30 18:11 iobroker-data
drwxrwxr-x+   2 iobroker iobroker   4096 Nov 30 20:44 log
drwxrwxr-x+ 502 iobroker iobroker  20480 Nov 25 22:34 node_modules
-rw-rwxr--+   1 iobroker iobroker    492 Nov 25 22:34 package.json
-rw-rwxr--+   1 iobroker iobroker 281765 Nov 25 22:34 package-lock.json

Das Backup lief jetzt per Backitup problemlos durch.

Wie gesagt: Screenshots von Backitup-Einstellungen und Synology-NAS-Einstellungen liefer ich gerne nach.

Als Pfad in Backitup habe ich übrigens /volume1/backup stehen.

Thomas Braun

@oromis sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

chmod 777 backups/

Darf auf Verzeichnisse mit ACLs nicht verwendet werden.

Und 777 ist i.d.R. ohnehin Murks.

getfacl /opt/iobroker/backups

sagt?

Oromis

@thomas-braun Ich hatte mir auch schon überlegt, dass iobroker fix wohl die Rechte wieder anpasst.

getfacl: Removing leading '/' from absolute path names
# file: opt/iobroker/backups
# owner: iobroker
# group: iobroker
user::rwx
group::r-x
group:iobroker:rwx
mask::rwx
other::r-x
default:user::rwx
default:group::r-x
default:group:iobroker:rwx
default:mask::rwx
default:other::r-x

ist meine Ausgabe. Hast du eine alternative Idee, wie man das Rechteproblem mit NFS umgehen kann?

Thomas Braun

@oromis sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

dass iobroker fix wohl die Rechte wieder anpasst.

Hast du das jetzt getan?
Denn die Ausgabe von getfacl sieht jetzt richtig aus, mit dem chmod 777 müsste die eigentlich anders aussehen.

Hast du eine alternative Idee, wie man das Rechteproblem mit NFS umgehen kann?

Die Rechte müssen auf dem Server angepasst werden, nicht auf dem Client/Mountpunkt.
NFS funktioniert über die uid der jeweiligen user (jedenfalls in der Grundeinstellung). Musst halt schauen was der 'iobroker' für eine uid hat und die entsprechend auf dem Server berechtigen.

Oromis

@thomas-braun Nein, ich habe "iobroker fix" noch nicht drüberlaufen lassen. Nach einem erfolgreichen Backitup-Backup liefert

ls -l /opt/iobroker

total 320
drwxrwxr-x+   2 iobroker iobroker   4096 Nov 27 23:48 backups
-rwxrwxrwx+   1 iobroker iobroker    237 Nov 16 11:51 INSTALLER_INFO.txt
lrwxrwxrwx    1 iobroker iobroker     22 Nov 16 11:51 iob -> /opt/iobroker/iobroker
-rwxr-xr-x+   1 iobroker iobroker    309 Nov 16 11:51 iobroker
drwxrwxr-x+   8 iobroker iobroker   4096 Nov 30 22:08 iobroker-data
drwxrwxr-x+   2 iobroker iobroker   4096 Nov 30 21:16 log
drwxrwxr-x+ 502 iobroker iobroker  20480 Nov 25 22:34 node_modules
-rw-rwxr--+   1 iobroker iobroker    492 Nov 25 22:34 package.json
-rw-rwxr--+   1 iobroker iobroker 281765 Nov 25 22:34 package-lock.json

also eine Änderung.

Den zweiten Teil mit den Rechten verstehe ich nicht ganz: Meinst du die Eintragung in /etc/fstab auf dem Rpi?

Thomas Braun

@oromis sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

Meinst du die Eintragung in /etc/fstab auf dem Rpi?

Nein, auf dem NFS-Server müssen die User gleichlautend angelegt sein.
Außer man spasht da, aber in der reinen Lehre macht man das nicht.

Oromis

@thomas-braun So etwas ähnliches schreibt Synology auch in ihrer Hilfe:
https://kb.synology.com/en-br/DSM/help/DSM/AdminCenter/file_share_privilege_nfs?version=7

Spoiler

If AUTH_SYS security flavor is implemented: The client must have exactly the same numerical UID (user identifier) and GID (group identifier) on the NFS client and Synology NAS, or else the client will be assigned the permissions of others when accessing the shared folder. To avoid any permissions conflicts, you can select Map all users to admin from Squash or give "Everyone" permissions to the shared folder.

"Map all users to admin" wird jedoch nach einer kurzen Googlesuche sicherheitstechnisch abgeraten und hat bei mir auch nicht funktioniert. Erst der entsprechende Eintrag in der fstab auf dem Rpi, hat dafür gesorgt, dass ich ohne sudo mounten konnte.

Hier meine Einstellungen in der NAS:

Was ich aber noch nicht so wirklich verstehe:

• Warum fehlen jedem Benutzer inkl. root die rwx-Rechte bei aktivem Mount über NFS für den Ordner /opt/iobroker/backups? Bzw. wie kann Backitup auch ohne NFS-Verbindung bei "d---------" überhaupt in dem Ordner Verzeichnisse erstellen? Oder ändern sich die Rechte in "d---------" mit dem mount per NFS und davor sind sie sowas wie "drwxrwxr-x+"? Also so wie es bei mir aktuell ausschaut.

• Warum ist der NFS-Mount ohne sudo über /etc/fstab ein Problem, wenn das Backup auch mit einem Mount mit Root-Rechte fehl schlägt?

Edit: Ah, ich hoffe ich reime mir jetzt keinen Müll zusammen, aber kann es sein, dass /opt/iobroker/backups ohne NFS-Mount relativ normale rwx-Rechte hat und dann eben - so wie es in der Synology-Hilfe auch steht ("...or else the client will be assigned the permissions of others when accessing the shared folder.") - bei einem NFS-Mount die Rechte entzogen werden. Mit dem chmod habe ich dann vermutlich "or give "Everyone" permissions to the shared folder" durchgeführt. Eleganter wäre es dann also, wie du schreibst, auf der NAS einen Benutzer, der die gleiche UID und GID, wie auf dem Rpi der iobroker-Benutzer, zu erstellen. Ist das so sinnvoll?

Thomas Braun

@oromis sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

Warum fehlen jedem Benutzer inkl. root die rwx-Rechte bei aktivem Mount über NFS für den Ordner /opt/iobroker/backups?

Weil die lokalen uid nicht auf dem NFS-Server bererchtigt sind.

Bzw. wie kann Backitup auch ohne NFS-Verbindung bei "d---------" überhaupt in dem Ordner Verzeichnisse erstellen?

Über die ACL-Rechte. Der Order hat ja mehr als die in ls gezeigten Rechte. Sieht man am + am Ende der Rechte.

Warum ist der NFS-Mount ohne sudo über /etc/fstab ein Problem, wenn das Backup auch mit einem Mount mit Root-Rechte fehl schlägt?

Ist kein Problem. Aber auf dem Server müssen die user halt auch Rechte haben.

Oromis

@thomas-braun Okay, super danke. Sorry, für mich ist das alles Neuland als Windows-User.

Ich habe meinen vorherigen Post nochmal editiert, während du die Antwort geschrieben hast (habs durchgestrichen, da es z.T. Müll war, was ich geschrieben habe, nachdem ich deine Erklärung gelesen habe). D.h. mein letzter Satz in dem Edit "Eleganter wäre es dann also, wie du schreibst, auf der NAS einen Benutzer, der die gleiche UID und GID, wie auf dem Rpi der iobroker-Benutzer, zu erstellen. Ist das so sinnvoll?" wäre dann die saubere Lösung?

Thomas Braun

@oromis sagte in Rechteprobleme mit Backitup und NFS NAS sicherung:

"Eleganter wäre es dann also, wie du schreibst, auf der NAS einen Benutzer, der die gleiche UID und GID, wie auf dem Rpi der iobroker-Benutzer, zu erstellen. Ist das so sinnvoll?"

Das wäre der übliche Weg wie NFS tickt. Ob das auf der Synology so umsetzbar ist weiß ich nicht, hab so'ne Kiste nicht.