在Linux上进行自动备份（一）

arc 脚本接收一个单独的文件或目录名作为参数，创建一个压缩的存档文件，同时将当前日期嵌入到生成的存档文件的名字之中。例如，如果您有一个名为 beoserver 的目录，您可以调用 arc 脚本，将 beoserver 目录名传递给它以创建一个压缩的存档文件，如： beoserver.20040321-014844.tgz

使用 date 命令是为了嵌入一个日期和时间戳以帮助您组织存档文件。日期的格式是年、月、日、小时、分、秒 —— 虽然秒域的使用有一些多余。查看 data 命令的手册（ man date）来了解其他选项。另外，在清单 1 中，我们向 tar 传递了 -v（verbose）选项。这就使得 tar 显示出它正在存档的文件。如果您喜欢静默地进行备份，那么删除这个 -v 选项。

清单 2. 存档 beoserver 目录


高级备份

这个简单备份是实用的；不过，它仍然包含一个人工备份的过程。行业最佳经验通常建议将数据备份到多个媒体上，并备份到分开的不同地理位置。中心思想是避免依赖于任何一个单独的存储媒体或单独的位置。

在下一个例子中我们将应对这一挑战，我们将分析一个如图 1 所示的假想的分布式网络，它展示了对两台远程服务器和一台离线存储服务器的系统管理。


                           图 1. 分布式网络

服务器 #1 和 #2 上的备份文件将安全地传输到离线存储服务器上，而且整个分布式备份过程将在没有人工干涉的情况下定期进行。我们将使用一组标准的工具（开放安全 shell 工具套件（OpenSSH）的一部分），以及磁带存档器（tar）和 cron 任务调度服务。我们的全部计划是，使用 cron 进行调度，使用 shell 程序和 tar 应用程序完成备份过程，使用 OpenSSH 安全 shell（ssh）加密进行远程访问、认证、安全 shell 拷贝（scp）以自动完成文件传输。要获得另外的资料请务必查看每个工具的手册。

使用公钥/私钥进行安全的远程访问

在数字安全的上下文中，密钥（key）指的是用来加密或解密其他数据片断的一个数据片断。公钥私钥模式的有趣之处在于，使用公钥加密的数据，只有用相应的私钥才可以解密。您可以自由地发布一个公钥，这样别人就可以对发送给您的消息进行加密。公钥/私钥模式彻底改变了数字安全的原因之一是，发送者和接收者不必再共享一个通用的密码。除了其他方面的贡献，公钥/私钥加密使用电子商务和其他安全传输成为可能。在本文中，我们将创建并使用公钥和私钥来创建一个非常安全的分布式备份解决方案。

要进行备份过程的每台机器都必须运行 OpenSSH 安全 shell 服务（sshd），同时让 22 端口可以通过任何内部防火墙被访问。如果您访问远程的服务器，那么很有可能您正在使用安全 shell。

我们的目标将是，不需要人工提供密码就可以安全地访问机器。一些人认为最简单的办法是设置无密码的访问：不要这样做。这样做不安全。不用那样，本文中我们将使用的方法可能会占用您大约一个小时的时间，建立起一个与使用“无密码”帐号同样方便的系统 —— 不过它是公认非常安全的。

让我们首先确保 OpenSSH 已经安装，接下来查看它的版本号。完成本文时，最新的发行的 OpenSSH 是 2004 年 2 月 24 日发布的版本 3.8。您应该考虑使用一个较新的而且稳定的发布版本，至少所用的版本应该要比版本 2.x 新。访问 OpenSSH Security 网页以获得关于特定旧版本的缺陷的细节。到目前为止，OpenSSH 是非常稳定的，而且已经证明不存在其他 SSH 工具所报告的很多缺陷。

在 shell 提示符中，输入 ssh 并给出重要的 V 选项来检查版本号：
$ ssh -V
OpenSSH_3.5p1, SSH protocols 1.5/2.0, OpenSSL 0x0090701f

如果 ssh 返回的版本号大于 2.x，则机器处于相对良好的状态。无论如何，建议您所有的软件都使用最新的稳定版本，这对于安全相关的软件来说尤其重要。
[page_break]
我们的第一个步骤是，使用将会有特权访问服务器 1 和 2 的帐号登录到离线存储服务器机器（见图 1）。
$ ssh accountname@somedomain.com

登录到离线存储服务器以后，使用 ssh-keygen 程序并给出 -t dsa 选项来创建一个公钥/密钥对。 -t 选项是必须的，用来指定我们要生成的密钥类型。我们将使用数字签名算法（Digital Signature Algorithm，DSA），它让我们可以使用更新的 SSH2 协议。参阅 ssh-keygen 手册以获得更多细节。

在 ssh-keygen 执行的过程中，在询问您口令（passphrase）之前，将提示您输入 ssh 密钥存储的位置。当询问在何处存储密钥时只需要按下回车键，然后 ssh-keygen 程序将创建一个名为 .ssh 的隐藏目录（如果原来不存在），以及两个文件，一个公钥文件和一个私钥文件。

ssh-keygen 的一个有趣特性是，当提示输入一个口令时，它让您可以只是简单地按下回车键。如果您没有给出口令，那么 ssh-keygen 将生成没有加密的密钥!如您所想，这不是个好主意。当要求输入口令时，确保输入一个足够长的字符消息，最好包含混合字符而不仅仅是一个简单的密码字符串。

清单 3. 永远选择好的口令


由于 ssh-keygen 生成的 .ssh 目录是一个隐藏的“dot”目录，所以要给 ls 命令传入一个 -a 选项来查看新创建的目录：


进入隐藏的 .ssh 目录并列出其内容：


现在，在隐藏的 .ssh 目录中，我们已经拥有了一个私钥（id_dsa）和一个公钥（id_dsa.pub）。您可以使用 vi 或 emacs 等文本编辑工具或者简单地使用 less 或 cat 命令来分析每个密钥文件的内容。您将看到由混合字符构成的内容已经经过了 base64 编码。

然后，我们需要将公钥拷贝并安装到服务器 1 和 2 上。不要使用 ftp。更合理的是，使用安全拷贝程序来将公钥传送到每一台远程机器上。

清单 4. 将公钥安装到远程服务器上

上一个：Linux系统下封杀非法IP
下一个：在Linux上进行自动备份（二）