Bacula y la comunicación TLS

[RLL]

Me está resultando dificil hacer uso de las comunicaciones cifradas en
Bacula.

Estoy reutilizando easy-rsa de OpenVPN para generar certificados de
servidor para un servidor web Apache sin problemas, y lo mismo quiero
hacer para los clientes de Bacula donde por lo visto tiene que coincidir
el Common Name del certificado con la dirección del cliente que no con
el nombre del cliente, igualmente aplicado al bacula-dir.conf,
bacula-sd.conf y bacula-fd.conf .

Entonces cuando hago la conexión con bconsole tras el reinicio de los
servicios el log que obtengo es el siguiente:

Destaco el mensaje de error "bacula-dir .... tls.c:94-0 Error with
certificate at depth: .... ERR=26:unsuitable certificate purpose" .
Cuando el certificado del servidor se generó con easy-rsa indicando
precisamente que es para un servidor.

[Camaleón]

No uso Bacula, Sólo un apunte por si te resulta de interés y/o utilidad.

Aunque es un hilo antiguo (2011) el error y el problema parecen
similares, echa un vistazo a estos mensajes de los foros de Bacula:

[Bacula-users] bacula and tls. Can't get that working
https://sourceforge.net/p/bacula/mailman/bacula-users/thread/20111108190128.6beff8f8%40d830-oh/#msg28371522

Saludos,

--
Camaleón

[RLL]

El 21/1/24 a las 18:07, Camaleón escribió:

Gracias, revisaré los parámetros de configuración de easy-rsa para tocar
justo el propósito del certificado, porque el error que tiene la persona
del hilo acaba diciendo que tenía comentado la línea que le permitía
generar certificado como servidor cosa que cumplo con easy-rsa:

$ easyrsa build-server-full nombre_servidor nopass

Por otro lado, estoy tentado de volver a mis scripts bash que hacen uso
de rsync+ssh sobre un sistema de ficheros ext4+mdadm.

Llevo con Bacula un par de años y hay cositas que voy sacando en claro:

- Tiene un fork Bareos y el mantenimiento está ahora dividido entre dos
grupos de trabajo.
- La curva inicial de aprendizaje es fuerte. La parte más difícil es el
despliegue y configuración que ya lo tengo superado.
- Es un sistema que escribe sobre ficheros llamados volúmenes de un
tamaño deseado, por ejemplo de 10 GB. Se escriben los jobs sobre un
conjunto de esos ficheros, tienes que organizar donde van los backups
full, y los incrementales, no accedes a los ficheros que quieres
recuperar de manera directa. Está simulando que trabaja con cintas.
- Requiere de una base de datos que tienes que mantener, crece a medida
que quieres indexar los backups antiguos, y tienes que medir su borrado.
- Llega un momento que hay ficheros de almacén vacíos, otros a medias...
y te es más difícil saber el espacio libre... y el sistema de ficheros
se empieza a quedar pequeño de modo que hay que hacer una gestión sobre
los volúmenes de Bacula.

Un saludo.

[Roberto Leon Lopez]

Solucionado.

Finalmente he podido rellenar bien los ficheros de configuración, cosa
compleja por todas las referencias necesarias. Los certificados
generados con easy-rsa como server funcionan sin hacer ningún ajuste.

El capítulo sobre TLS en el manual 9 se queda corto
https://www.bacula.org/9.6.x-manuals/en/main/Bacula_TLS_Communications_E.html
y en la versión 11 podemos ver un ejemplo completo
https://www.bacula.org/11.0.x-manuals/en/main/Bacula_TLS_Communications_E.html
que me ha aclarado todo lo que hay que rellenar.

Hay que rellenar tantas referencias de TLS como intervinientes en la
comunicación:

- De bconsole a Director.
- De Director a Storage Daemon.
- De Director a Cliente.
- De Cliente a Storage Daemon.

Añadir a los puntos de descontento con Bacula anteriores indicados en
el hilo que si tienes un cliente fuera de tu oficina vas a tener que
abrir un puerto en tu firewall porque después de que el Director le
diga al Cliente que tiene que empezar a enviar datos, es el Cliente
quien abre una conexión hacia el Storage Daemon. Esa última conexión
es una pelea con auditores para justificarles abrir un puerto en el
firewall.

Saludos y gracias.