Arcserve UDPで保護したLinuxマシンへのファイル単位リストアの動作仕様について解説します
一般論として Linux はセキュリティ レベルが高いと評価されますが、その理由の一つとして root アカウントのリモート ログインが OS デフォルトで禁止されていることが挙げられます。Arcserve UDP ではそのような環境でも、root アカウントを使わずにバックアップする方法があります。ただし、この場合ファイル単位リストアを行うにはちょっとしたコツが必要になるので、今回はその点について解説します。
Arcserve UDP Agent for Linux ファイル単位リストア時の動作仕様について
Arcserve UDP Agent for Linux ではファイル単位リストアの際にリストア先として、「元の場所にリストア」か「別の場所にリストア」のいずれかを選択します。(※1)
「元の場所にリストア」を選択した場合は ”/” (ルート)ボリュームへのアクセスが必要となるため、root アカウントとパスワードの入力が必要となります。
冒頭に書いたようにセキュリティ強化のため root アカウントを使わずにバックアップしているのに、リストアで root アカウントが必要となると困ってしまいますね。そこで、代替策として「別の場所にリストア」を使います。
「別の場所にリストア」を選べば、リストア先ディレクトリへの書き込み権限を持つアカウントとパスワードでリストアできます。
「別の場所にリストア」ではリストア先に任意のパスを指定できるので、バックアップ元と同じパスを指定すれば、実質 root アカウントを使わずに元の場所にリストアできます。
つまり、Arcserve UDP Agent for Linux のファイル単位リストア仕様は以下の様になります。
・「元の場所にリストア」-> root アカウントでのリストアが必要
・「別の場所にリストア」-> リストア先に書き込み権限のあるアカウントならリストアが可能
では、「別の場所にリストア」を使用する場合に、どのように「リストア先ディレクトリへの書き込み権限」を確認したら良いか説明します。
今回は、「/home/udpadmin/ドキュメント」というディレクトリを「別の場所にリストア」する例として説明します。Linux では、”/home/ユーザ名” 形式のディレクトリは、ユーザごとのホーム ディレクトリとして使用するので、ユーザ管理の仕様上、そのユーザ(ディレクトリ所有者)にしか書き込み権限を与えないのが一般的です。
ディレクトリに割り当てられた権限は ”ls -l” コマンドで確認でき、リスト出力されたディレクトリやファイルの左端の情報から読み解くことが出来ます。
上記の様な ls コマンドの実行結果があった場合、「/home/udpadmin/ドキュメント」には ”drwxr-xr-x.“ というアクセス権が設定されていることが読み取れ、以下のようなアクセス権であることが解ります。
つまり、このディレクトリに対してリストアする場合、root パスワードを知らなくても、ディレクトリの所有者である udpadmin アカウントのパスワードさえ知っていればリストアできることが解ります。
なお、この例では設定されていませんが、もし仮に、グループやその他ユーザに対して、”w”(書き込み権限)が設定されているなら、ディレクトリへのアクセス権を持つ他のアカウントを指定しても、「別の場所にリストア」でファイル単位リストアが可能となります。
バックアップに使用する非rootアカウントの実行権と設定例
次に、非 root ユーザで Linux 環境をバックアップする構成について、ファイル単位リストアに関係する部分も出てくるので、少々触れておきます。その方法としては4つあるのですが、今回はその中から sudo コマンドを使用する例について解説します。それ以外の方法については技術文書も公開しているので、こちらも是非、参照してみてください。
root 以外のユーザを使用して Linux バックアップ サーバと Linux バックアップ対象ノードを管理する方法
sudo コマンドとは、あるユーザに異なるユーザ権限でコマンドを実行させたい場合に使用するコマンドです。これを応用することで、元々は root 権限が必要な Arcserve UDP Agent for Linux のバックアップ運用も、root アカウントを使用せずに運用できるようになります。
さて、バックアップ運用で sudo コマンドを利用可能にするには、バックアップ管理者を sudo アカウントとして登録しておく必要があります。具体的には visudo コマンドを root アカウントで起動し、/etc/sudoers ファイルに実行したいユーザと代理実行させるコマンドを登録する必要があります。また設定対象のサーバは、下図のように、バックアップ環境内の全ての Linux サーバ上で実施する必要があります。
注意していただきたいのが、一般ユーザに割り当てる権限です。例えば以下の様に root と同等の権限を”全て”割り当てるには、/etc/sudoers に以下のような1行を追加します。
udpadmin ALL=(ALL) ALL
しかしこの場合、root で実行できる全ての処理が udpadmin でも実行できてしまうため、悪意のある第三者に乗っ取られた場合のリスクが増えてしまいます。そこでバックアップに必要な最小限の権限のみを割り当てることでセキュリティ リスクの軽減と運用の利便性を両立する設定が Arcserve UDP のユーザ ガイドに記載されています。
Arcserve UDP 10.x Agent for Linux ユーザ ガイド - Linux ノードで sudo ユーザ アカウントを設定する方法
ユーザ ガイドで説明されている内容のまま、”udpadmin” というバックアップ用アカウントを登録する際のサンプルを以下に書き出しておきます。別のアカウント名で使用する場合は ”udpadmin” の部分を変更して /etc/sudoers に追記してください。
Defaults: udpadmin env_keep +="HOME HOSTNAME USERNAME LANG LC_ADDRESS LC_CTYPE"
Defaults: udpadmin env_keep +="LC_COLLATE LC_IDENTIFICATION LC_MEASUREMENT"
Defaults: udpadmin env_keep +="LC_MESSAGES LC_MONETARY LC_NAME LC_NUMERIC LC_TIME LC_ALL LANGUAGE"
Defaults: udpadmin env_keep +="SSH_CONNECTION CRE_LOG_BASE_DIR jobID TARGET_BOOTSTRAP_DIR CRE_ROOT_PATH
udpadmin ALL=(ALL) /usr/bin/d2d_ea,/usr/bin/ln
この例では、以下の赤字で示した、バックアップに必要な最小限の権限のみをバックアップ管理者に割り当てています。これによりバックアップジョブ作成時の root パスワード入力は不要となるので、root パスワード漏洩リスクを減らしつつ、利便性も損なわないバックアップ運用が可能となります。
udpadmin ALL=(ALL) /usr/bin/d2d_ea,/usr/bin/ln
また、この例の様に root 以外のユーザをバックアップ実行ユーザとして使用するには、以下のような設定追加がArcserve UDP Agent for Linux をインストールした Linux バックアップ サーバに対し必要となります。
“udpadmin” をバックアップ管理者としてArcserve UDP Agent for Linuxに登録する場合の設定例
1) /opt/Arcserve/d2dserver/configfiles/server.cfg ファイルの存在をチェックし、存在しなければを新規作成
2) server.cfg ファイルに以下の2行を追加し保存
allow_login_users=udpadmin
enable_non_root_user=true設定後のOS や Arcserve UDP Agent for Linux の再起動は不要です
おまけ:非rootアカウントを使用した「元の場所にリストア」
さて、ここまでご紹介してきた方法は、sudo コマンドを使用し、バックアップ時のセキュリティ レベルを最も高めた場合の運用方法です。しかし環境や規模によっては非 root アカウントでもリストアできるよう利便性を優先して設定したいケースもあるかと思います。この場合も /etc/sudoers をカスタマイズすることで実現可能です。しかし、sudo コマンドによる代理実行権を拡張することに違いはないので、セキュリティ レベルに問題がないことを確認の上で設定してください。
先ほどご紹介した /etc/sudoers の設定に以下の設定を追加することで、ファイル単位リストアの際に「元の場所にリストア」を選択しても root ではなく、バックアップで使用した非 root アカウントとパスワードのみでリストアできるようになります。
先ほどの設定との違いは赤字で示した部分の有無です。
udpadmin ALL=(ALL) /usr/bin/d2d_ea,/usr/bin/ln,/bin/sh
udpadmin ALL=(ALL) NOPASSWD:/home/udpadmin/.d2drestorefile/d2dtar.64,/tmp/d2dtar.64
1行目ではバックアップ管理者である “udpadmin” に、”/bin/sh” の実行権を追加し、2行目では指定コマンド(リストア)の実行時に、通常は root の代理実行で入力が必要なパスワード入力をスキップする “NOPASSWD“ オプションを指定しています。2行目の設定についてはユーザ ガイドにも詳しい解説があるので、詳細はそちらも参照してみてください。この設定変更には visudo コマンドを root 権限で起動し設定する必要があります。
Arcserve UDP 10.x Agent for Linux ユーザ ガイド – リストア ファイル ジョブの実行中に SUID ビットを無効にする方法
いかがでしたか?今回は非 root ユーザでも Arcserve UDP Agent for Linux で元の場所にファイルをリストアする方法について解説しました。 Linux でもランサムウェア対策が必要と言われるご時世ですので、今回の記事を活用し、よりセキュアなバックアップ環境を構築してみてください。
※1 リストア手順の全体像については、以下のガイドをご覧ください。
Arcserve UDP 10.x Agent for Linux 環境構築ガイド P.28 – 5. ファイル単位のリストア
注: 最新バージョンの環境構築ガイドは Arcserve カタログ センターをお探しください。
« Arcserve Support Portalへのログイン用ユーザネームの変更方法 | トップページ | Arcserve UDP:Microsoft Defender の除外設定方法 »
「技術情報」カテゴリの記事
- Arcserve Backup とRDX で実現する "わかりやすい" ランサムウェア対策(2025.12.12)
- Arcserve CRS シリーズの運用管理 Tips(2025.10.31)
- Arcserve UDP 10.2 新機能紹介:復旧ポイントサーバのデータストアで Amazon S3 / Azure Blob / Google Cloud Storage が利用可能に(2025.10.17)
- オンプレミス版 Arcserve Cyber Resilient Storage (CRS) の OS とは?(2025.10.03)
- Arcserve UDPで保護したLinuxマシンへのファイル単位リストアの動作仕様について解説します(2025.08.01)
「Arcserve UDP」カテゴリの記事
- なぜスナップショットを作成するだけでイミュータブルストレージ?(2025.11.28)
- サイバーレジリエンスを高める Arcserve UDP の運用(2025.11.14)
- アップグレードは必須。さらにCRSで、ランサムウェアに打ち勝つ環境を(2025.11.07)
- Arcserve UDP 10.2 新機能紹介:復旧ポイントサーバのデータストアで Amazon S3 / Azure Blob / Google Cloud Storage が利用可能に(2025.10.17)
« Arcserve Support Portalへのログイン用ユーザネームの変更方法 | トップページ | Arcserve UDP:Microsoft Defender の除外設定方法 »
コメント