Admins kleine HelferTools für Systemadministratoren

System-Tools

Admins kleine Helfer

Die Software-Ausstattung der großen Linux-Distributionen Fedora und OpenSuse ist in etwa gleich. Für die meistenWartungs- und Systemaufgaben sind entsprechende Tools an Bord, die allerdings oft manuell installiert werdenmüssen. Alternativ dazu können Sie Ihr System aber auch um Open-Source-Software erweitern. Linux Professionell stellt die besten und wichtigsten Helfer für Systemverwalter vor und liefert Praxis-Tipps zur Nutzung.

System-Tools
Wenn es einmal hakt, ist guter Rat teuer. Mit den folgenden Tools kommen Sie den meisten Linux-Problemen schnell auf die Schliche. Ähnliches gilt auch für die Administration: Kostenlose Tools sind den Standard- Programmen in vielerlei Hinsicht überlegen.

Schneller SysVinit-Ersatz
Bei runit (http://smarden.org/runit) handelt es sich um einen Ersatz für den in der Praxis doch recht trägen Systemdienst Vinit, der für den Start einzelner Prozesse beim Booten eines Systems (sowie deren Beenden beim Shutdown) verantwortlich ist. Die Vorteile von runit gegenüber SysVinit liegen auf Seiten der Performance. Je nach Anzahl der im Hintergrund laufenden Services übertrumpft runit die SysVinit-Funktion um den Faktor 3. Hintergrund: runit startet und stoppt die Prozesse parallel, beachtet dabei aber dennoch die Startreihenfolge. Empfehlenswert ist der Einsatz von runit auf Distributionen, die ohne starres Package- Update-Management ausgeliefert werden. So etwas ist unter anderem bei OpenSuse, Fedora Core und Ubuntu der Fall. In unserem Beispiel zeigen wir die Installation von runit unter Debian Sarge 3.1r2. Die Installation erfolgt mit:

apt-get update
apt-get install runit runitservices
runit-run

Debian führt alle notwendigen Konvertierungsschritte zu runit durch. Allerdings müssen Sie die Kernel-Zeile in /boot/grub/ menu.lst entsprechend anpassen:

kernel /boot/vmlinuz-2.4.27-2-386 root=/dev/hda1 ro

wird zu

kernel /boot/vmlinuz-2.4.27-2-386 root=/dev/hda1 ro

init=/sbin/runit-init

Anschließend wird per Befehl

runit-init 6

ein Reboot ausgelöst. Im Verzeichnis /var/service finden Sie einen Überblick, welche Services automatisch gestartet werden. Nach der Erstkonfiguration von runit finden sich hier lediglich die Getty-Prozesse für das Terminal. Im Verzeichnis /etc/sv sichert das Tool das Backup der zuvor von SysVinit verwendeten Services. Mit dem Befehl

ln -s /etc/sv/ssh /var/service

bringen Sie beispielsweise SSHD in den automatischen Neustart mit ein. Mit runit fährt das System nicht nur schnell hoch, auch der mit folgendem Befehl eingeleitete Shutdown geht flotter vonstatten:

/etc/runit/3

Verteilte Shell mit dsh

Admins kleine Helfer

Als Systemadministrator verwalten Sie mehrere identische Maschinen und müssen sich ? beispielsweise zwecks Überprüfung des verwendeten Kernels ? in jede Maschine einzeln einloggen? Mit der Distributed Shell, kurz dsh (www.netfort.gr.jp/~dancer/software/dsh.html.en) erledigen Sie diesen Vorgang in einem Bruchteil der bislang benötigten Zeit. Zunächst kompillieren Sie die Bibliothek libdsh und installieren diese im System. Im zweiten Schritt steht das Kompillieren von dsh auf dem Programm. Die grundlegende Syntax lautet:

./configure && make && make install

Damit installieren Sie die Bibliothek und dsh ins Verzeichnis /usr/local.Mit dem Befehl

mkdir ~/.dsh

erstellen Sie jetzt im Verzeichnis /Home einen Unterordner für dsh. Dort legen Sie die Datei machines.list an, die alle Server enthält, die Sie abfragen möchten. Ein Beispiel:

mailer11.agnitas.de
mailer12.agnitas.de
mailer13.agnitas.de

Stellen Sie sicher, dass ein Authentisierungsverfahren wie beispielsweise Public- Key-Authentisierung bei allen Hosts verwendet wird. Mit dem Befehl

dsh -r ssh -a “uname -a”

baut dsh nacheinander eine SSH-Verbindung (Option -r ssh) zu den einzelnen Maschinen auf und führt den Befehl uname -a aus, der Ihnen den aktuell verwendeten Kernel anzeigt. Mit dsh können Sie aber auch Verwaltungsgruppen von bestimmten Hosts erstellen. Legen Sie hierzu zunächst einmal mithilfe des Befehls

mkdir ~/.dsh/group

ein Gruppenunterverzeichnis an und erstellen Sie dort die Datei

mailer

mit einer Gruppe von Hosts. Führen Sie anschließend den Befehl

dsh -r ssh -g mailer “uname -a”

aus, und alle in der Gruppendatei mailer erwähnten Server werden per SSH konnektiert. Zudem führt dsh auf allen Remote-Maschinen den Befehl uname -a aus. Praktisch: Dank individueller Gruppen gestaltet sich der Einsatz von dsh äußerst flexibel

Virtuelle Textkonsolen

Admins kleine Helfer

Mithilfe von screen erstellen Sie virtuelle Konsolen. So etwas ist in der Praxis wichtig, um etwa einen Compiler imHintergrund zu betreiben und imaktiven Fenster das Install- File der Anwendung zu überprüfen. Die Bedienung von screen ist denkbar einfach: Mit dem Befehl screen öffnen Sie eine neue virtuelle Konsole. Alternativ starten Sie mit screen eine virtuelle Konsole, in der das spezifizierte Kommando ausgeführt wird. Eine Übersicht der verfügbaren screen-Befehle erhalten Sie mit:

screen -ls

Zwischen den virtuellen Konsolen wechseln Sie mit [Strg] + [A]. Über den Befehl screen können Sie zudem direkt zu einer aktiven Konsole springen, beispielsweise mit:

screen -r 8125.tty1.localhost

An weiterführende Informationen gelangen Sie mit man screen und info screen.

Gelöschte Dateien sichten
Dateien, die Sie mit System-Tools wie rm löschen, gelten im Regelfall als unwiederbringlich verloren. Mit einem Trick gelangen Sie jedoch zumindest noch an die Inhalte der gelöschten Dateien. Im folgenden Beispiel schreiben wir den String LinuxProIdentifier in die Readme-Datei von Nagios und löschen diese mit dem rm-Befehl. Mit der Syntax

grep -a -B10 -A50 -i linuxpro identifier /dev/hda3> Recovery_README

starten Sie den Wiederherstellungsversuch. Zur Erklärung: Die Option -a bedeutet, dass grep nach reinen ASCII-Inhalten sucht. Die Groß-/Kleinschreibung wird mit -i komplett ignoriert, was Ihnen die Suche erleichtert. Die Optionen -B10 und -A50 geben an, dass 10 Zeilen vor dem gefunden String und 50 Zeilen nach dem String ausgegeben werden. Die Ausgabe leiten Sie mit [>] in die Datei Recovery_README um. Je nach derGröße und Geschwindigkeit der Festplatte kann diese Operation in Extremfällen durchaus mehrere Stunden dauern. Idealerweise führen Sie die Suche nicht imMulti-User-Betrieb durch, sondern starten Linux dafür im Single-User-Modus. Die Erfolgsquote liegt höher, wenn die Datei erst kürzlich gelöscht wurde und die verwendeten Blöcke noch nicht durch neue Dateien überschrieben sind.

Datenschutz und SSHD

Admins kleine Helfer

Die Datensicherheit spielt sowohl in Produktivumgebungen als auch im Home-Bereich eine wichtige Rolle. Mit folgenden Tools schützen Sie Ihre Daten und wehren Brute- Force-Attacken erfolgreich ab. Verschlüsselung für Dienste Bei cryptcat (http://farm9.org/Cryptcat) handelt es sich um eine aufgebohrte Version von netcat (siehe Abschnitt »Cat für das Internet «). Während netcat alle Daten unverschlüsselt überträgt, beherrscht cryptcat den Twofish-Krypto-Algorithmus. cryptcat erweitert die Optionen von netcat um den Schalter -k. Damit setzen Sie das Shared Secret, ein Kennwort, das beiden Parteien bekannt sein muss. Das imBereich »Cat für das Internet « vor
gestellte Beispiel sähe so aus:

cryptcat -k geheim -l 1234>
/tmp/MyBackup.tgz

Auf der Client-Seite müssen Sie die Option -k mit dem Kennwort geheim ebenfalls einsetzen. Mit cryptcat lassen sich Protokolle, die naturgemäß keine eigene Verschlüsselung besitzen, sehr effizient und schnell verschlüsseln.

Brute Force abwehren

Admins kleine Helfer

Wie der Blick auf die Sicherheitslogs zeigt, steigt mit jedem Tag die Anzahl der Brute-Force-Angriffe gegen Dienste wie SSHD (Secure Shell Daemon). Das Ziel der Angreifer, die mit Programmen wie Hydra im Teamwork arbeiten, ist der Superuser-Account

root.
Mithilfe umfangreicher Wörterbücher testen die Cracker eine Vielzahl von Kennwörtern, bis sie die gültige Variante finden. Selbst wenn Sie komplexe Kennwörter wählen: Die Angriffe enden häufig in DoS-Attacken auf SSHD und erzeugen Traffic. Mit folgenden Tricks können Sie Ihren SSHD-Server resistenter oder immun gegen SSHD-Brute-Force-Angriffe machen. Folgende Parameter finden Sie imRegelfall in der Konfigurationsdatei des SSHD-Servers unter /etc/ssh/sshd_config:

ListenAddress:
Mit diesem Parameter legen Sie fest, welches Interface SSHD überwachen soll. Ein Beispiel: Ihre Server besitzen ein externes und internes Interface, der SSHD-Zugriff ist aber nur auf dem internen (10.0.0.100) Interface notwendig. Der Befehl ListenAddress 10.0.0.100 führt dazu, dass SSHD das externe Interface ignoriert.

PermitRootLogin:
Sperren Sie den Root- Log-in per SSH einfach komplett und nutzen Sie stattdessen den Befehl sudo, um privilegierte Befehle auszuführen. Die entsprechende Syntax lautet: PermitRootLogin no. Auf eine analoge Methode vertraut auch die in dieser Ausgabe vorgestellte Distribution Ubuntu 6.06 Server LTS. Hier wird aus Sicherheitsgründen standardmäßig kein Root-Kennwort vergeben, alle privilegierten Operationen erfolgen per sudo.

Port:
In der Grundeinstellung lauscht SSHD auf Port 22. Mit der Änderung dieses Ports erschweren Sie auch Brute-Force- Attacken. Allerdings nur so lange, bis dem Angreifer der echte SSHD-Port bekannt ist. Wie im Beispiel netcat angegeben, lassen sich entsprechende Service-Port-Scanner sehr einfach konstruieren.

Password-Optionen:
Bei Maschinen, die direkt im Internet erreichbar sind, sollten Sie die Authentifizierung per Kennwort abschalten; dies geschieht mit dem Befehl Password Authentication no. Verbieten Sie zudem leere Kennwörter mit PermitEmptyPasswords no. Anstatt der Authentifizierung über reguläre Kennwörter, aktivieren Sie das Public- Key-Verfahren von openSSH. Auf diese Weise stellen Sie sicher, dass nur Anwender auf Ihre Systeme zugreifen, die im Besitz eines gültigen Schlüssels sind. Die Authentifizierung schalten Sie mit dem Befehl PubkeyAuthentification yes ein.

Protocol:
Mit dem Kommando Protocol 2 sperren Sie das alte SSH-1-Protokoll und damit verbundene Sicherheitslücken.

Security

Admins kleine Helfer

Angefangen beim Schutz des Kernels über das Überwachen des Dateisystems bis hin zum rückstandfreien Löschen von Daten ? eine Hand voll Utilitys sorgen für wesentlich mehr Sicherheit.

Überwachtes Dateisystem
Veränderungen am Dateisystem sollten Sie als erfahrener Systemadministrator sofort bemerken ? egal, ob diese durch Neuinstallation und Upgrade eines Programmpakets oder eine Cracker-Attacke ausgelöst wurden. Eines der effektivsten Werkzeuge zur Überwachung des Dateisystems ist tripwire. Das Programm ist sowohl in einer kommerziellen (www.tripwire.com) als auch in einer Open-Source-Version (http://trip wire.sourceforge.net) erhältlich. Für das Kompilieren von tripwire benötigen Sie neben dem regulären C-Compiler auch C++. Unter CentOS v4.3 installieren Sie den Compiler mit yum install gcc-c++. Unter Fedora Core 5 führt das Kompilieren mit GCC 4.1 zu Problemen ?mit GCC 3.4 klappt es hingegen problemlos:

./configure
make
mv contrib install
make install

tripwire benötigt für die Installation zwei Passphrases, die Sie sich aufschreiben sollten: Site Keyfile und Local Keyfile. Anschließend erstellen Sie mit dem Befehl

tripwire –init

die initiale tripwire-Datenbank. Die Prüfsumme zu jeder Datei wird bei tripwire ausschließlich verschlüsselt abgelegt, um auf diese Weise einem Angreifer die Manipulation der Datenbank zu erschweren. Danach modifizieren Sie beispielsweise die Datei /bin/ls ? und führen folgenden Befehl aus:

tripwire –check

tripwire meldet die Modifikation der Datei mit einer Ausgabe wie:

Modified:
“/bin/ls”

Kernel-Schutz

Admins kleine Helfer

Um den Kernel gegen interne und externe Angriffe zu härten, empfiehlt sich der Einsatz von GRsecurity (www.grsecurity.net). Das Paket ist in vielen kommerziellen Linux- Distributionen, darunter Suse Linux Enterprise Server (SLES) oder Red Hat Enterprise Linux (RHEL), bereits enthalten. GRsecurity bietet folgende Vorteile:

– eine robuste RBAC (Role Based Access Control), umdie begrenzten DAC-Policies von Linux zu erweitern
-verbesserte Härtung von chroot-Anwendungen

erweiterter Schutz gegen Racing-Conditions in /tmp
– verbesserte Zufallszahlen in den Sequenzen des TCP-Stacks
– Prozessmanagement/-übersicht per User
– ausführliches Logging, inklusive der IPAdresse bei Verstößen

Die aktuelle Version 2.1.8 von GRsecurity steht für die Kernel-Varianten 2.4.32 und 2.6.14.6 zum Download bereit. Laden Sie den Quellcode des entsprechenden Linux- Kernels von www.kernel.org, entpacken Sie ihn und wechseln Sie dann in das neu entstandene Verzeichnis. Mit dem Befehl spielen Sie den Patch von GRsecurity in den Kernel-Quellcode ein:

patch -p0 ./grsecurity-2.1.8- 2.6.14.6-200601211647.patch

Bearbeiten und aktivieren Sie die GRsecurity- Optionen im Anschluss mit make menuconfig und passen Sie den Kernel wie gewohnt an die Anforderungen Ihres Systems an. Noch mehr Sicherheit erreichen Sie mit PaX (http://pax.grsecurity.net), einem zur Abwehr von Buffer-Overflow-Angriffen konzipierten Tool. Ausführliche Infos zu GRsecurity und PaX finden Sie im HOWTO-Dokument auf der Webseite von GRsecurity.

Daten effizient vernichten

Admins kleine Helfer

Bei sicherheitsrelevanten Informationen genügt es nicht, sie mit regulären System- Tools wie rm zu löschen.Wie bereits beschrieben, existieren Wege, um so gelöschte Daten zu rekonstruieren. Ideal zum Löschen vertraulicher Informationen ist shred. Das Programm ist bei allen gängigen Linux-Distributionen in den Coreutils vorhanden. Mit shred überschreiben Sie eine Datei, bevor diese endgültig gelöscht wird. Um etwa die Datei Mail_Archive_2001.tgz zu überschreiben und zu löschen, rufen Sie

shred -n 3 -vzu Mail_Archive_ 2001.tgz

auf. Die Option -n 3 bewirkt, dass die Datei zunächst in drei Durchläufen mit Zufallszahlen gefüllt wird. Per Standardeinstellung führt shred ansonsten 25 Iterationen durch. Anschließend wird die Datei mit der Option -z komplett mit Nullen überschrieben, bevor sie schließlich gelöscht wird (Schalter -u). Die Option -v zeigt Ihnen den aktuellen Status der shred-Operation. Alternativ können Sie shred auch einsetzen, um ganze Festplatten zu löschen. Um beispielsweise die erste IDE-Festplatte /dev/hda zu löschen, genügt der Aufruf:

shred -n 3 -vz /dev/hda

Daten sicher löschen
Eine hervorragende Alternative zum Löschen kompletter Festplatten mit shred ist DBAN (http://dban.sourceforge.net). DBAN steht für Darik’s Boot and Nuke und ist als 1,9 MByte großes ISO-Abbild zum Download verfügbar. Das Linux-basierte Tool erfüllt seine Aufgabe gewissenhaft: Es löscht alle am System ang
eschlossenen Festplatten rückstandsfrei (Sanitizing). Die Unterstützung von Standards, darunter das vom US-Verteidigungsministerium entwickelte 5220-22M-Verfahren, sorgen dafür, dass DBAN von zahlreichen US-Regierungsstellen zur Festplattenlöschung verwendet wird. DBAN kommt zum Einsatz, wenn ausgediente PC- und Server-Systeme verkauft oder entsorgt und die darauf befindlichen Daten rückstandsfrei gelöscht werden sollen. Dieses Tool sollten Sie mit äußerster Vorsicht genießen und höchstens im Rahmen einer virtuellen Maschine testen, da Sie nach dem Booten der CD-ROM nur ein Tastendruck von der Löschung Ihrer Daten trennt. DBAN unterstützt alle von Linux erkannten Festplattencontroller und -modelle.

Netzwerk

Admins kleine Helfer

Auch in Sachen LAN finden sich auf dem Open-Source-Sektor eine ganze Reihe pfiffiger Lösungen, mit deren Hilfe die Administration eines Netzwerkes deutlich einfacher vonstatten geht. Die besten Tools stellen wir in diesem Abschnitt vor. Sub-Netze leicht gemacht Die vom Provider zugeteilten Sub-Netze werden kleiner, die IP-Adressen verlieren dadurch an Aussagekraft. Ein Beispiel: Kennen Sie auf Anhieb die Broadcast- und Network- Adresse von 213.131.239.232/28? Um dennoch schnell an die gesuchten Informationen zu gelangen, bietet sich das Tool ipcalc an, das in allen gängigen Linux- Distributionen enthalten ist. Sie ermitteln die Broadcast-, Netmask- und Network-Adressen der zuvor aufgeführten Beispiel-IP-Adresse mit folgendem Befehl

ipcalc -bmn 213.131.239.232/28

und erhalten die gesuchten Daten:

NETMASK=255.255.255.240
BROADCAST=213.131.239.239
NETWORK=213.131.239.224

Mit diesen Informationen ausgestattet, konfigurieren Sie die lokalen Schnittstellen; beispielsweise unter

/etc/sysconfig/networkscripts/ ifcfg-eth0

bei RHEL oder Fedora Core.

Cat für das Internet

Admins kleine Helfer

Mit dem Befehl cat ist jeder Admin vertraut: cat /etc/ hosts> /root/hosts führt dazu, dass die Datei /etc/hosts nach /root/hosts kopiert wird. Das Tool netcat erweitert den Funktionsumfang von cat auf das gesamte Netzwerk. Für Fedora Core existiert das fertige Paket nc (http://freshmeat.net/projects/ netcat/). Installieren Sie dieses per:

yum install nc

Sollte für Ihre Linux-Distribution kein fertiges Paket existieren, können Sie netcat problemlos in Eigenregie kompilieren. Mit folgendem Befehl verwandeln Sie netcat in einen kleinen Port- und Versions-Scanner. Um beispielsweise die Version (und den Port) eines SSHD-Servers zu erkennen, führen Sie folgenden Befehl aus:
echo “QUIT” | nc -v www.widatec.net 20-30

netcat gibt diese Statusmeldungen aus:

nc: connect to www.widatec.net port 20 (tcp) failed: No route to host
nc: connect to www.widatec.net port 21 (tcp) failed: No route to host
Connection to www.widatec.net 22 port [tcp/ssh] succeeded!
SSH-1.99-OpenSSH_3.9p1
nc: connect to www.widatec.net port 23 (tcp) failed: No route to host

Einen reinen Port-Scan führen Sie hingegen mit folgendem Kommando durch:

nc -z www.widatec.net 20-30

Als Feedback erhalten Sie eine Übersicht der offenen Ports, deren Range im definierten Bereich zwischen 20 und 30 liegt:

Connection to www.widatec.net 22 port [tcp/ssh] succeeded!

Damit ist das Funktionsspektrum von netcat aber noch nicht erschöpft. Auch bei der Datensicherung spielt das Tool eine Rolle. Auf dem Server, der als Backup-Speichermedium fungieren soll, starten Sie:

nc -l 1234> /tmp/MyBackup.tgz

Dieser Befehl führt dazu, dass netcat auf dem lokalen Host (-l) auf Port 1234 nach einer Verbindung lauscht.Wird diese hergestellt, schreibt das Tool alle empfangenen Daten in die Datei /tmp/MyBackup.tgz. Melden Sie sich auf der zu sichernden Maschine an und führen Sie folgendes Kommando aus:

tar zcf – /home/tw | nc -w 10 HOSTNAME 1234

In unserem Beispiel sichern wir das Home-Verzeichnis /home/tw per tar-Befehl über netcat auf den zuvor eingerichteten Port 1234 des virtuellen Backup-Servers. Dem Einsatzspektrum von netcat sind kaum Grenzen gesetzt. Sie können das Tool universell einsetzen; Kommandos lassen sich selbst dann ausführen, wenn Verbindungen zu angeforderten Ports aufgebaut werden. Die genaue Syntax von netcat erfahren Sie mit man nc beziehungsweise info nc. Die Installation von netcat ist nicht ganz einfach. Legen Sie ein Verzeichnis für die kompilierte Datei an, da die auf Freshmeat angebotene netcat-Version sich direkt im aktuellen Verzeichnis entpackt. Nach dem Entpacken öffnen Sie die Datei netcat.c und fügen im #include-Abschnitt die Zeile #inclu de ein. Nach Eingabe von make linux steht Ihnen netcat als nc zur Verfügung.

Datensicherung

Admins kleine Helfer

Nachdem wir Ihnen gezeigt haben, mit welchen Tools Sie Daten vor Missbrauch schützen können, steht in diesem Abschnitt die Datensicherung auf dem Programm.

Kostenloser NAS-Server
Sie benötigen ein Network Attached Storage (NAS) und möchten mit Windows-, Linux-, Apple-Clients sowie per FTP, SSH und NFS auf die Daten zugreifen? Dann sollten Sie auf jeden Fall den Einsatz von FreeNAS (www.freenas.org) in Erwägung ziehen. Das System basiert auf FreeBSD oder genauer gesagt auf der minimalisierten FreeBSD-Variante, der freien Firewall M0n0wall. FreeNAS steht unter der offenen BSDLizenz und wird auf der Website als knapp 100 MByte großes ISO-Abbild zum Download angeboten. Die Konfiguration erfolgt ? auch bei M0n0wall ? über eine intuitive, auf PHP basierte Webschnittstelle. FreeNAS arbeitet mit allen von FreeBSD erkannten Controllern und Festplatten zusammen und unterstützt bei der NAS-Konfiguration die RAID-Level 0, 1 und 5. Einziges Manko: Die Bootdisk mit dem Betriebssystem kann nicht in einen RAID-Verbund integriert werden. Allerdings bietet FreeNAS auch die Möglichkeit, die Installation beispielsweise auf einem USB-Stick abzulegen und so alle vorhandenen Festplatten als reinen Storage-Space zur Verfügung zu stellen.

Alternatives Backup-Tool
Eine ausgezeichnete Alternative zum schmalbrüstigen Sicherungswerkzeug cpio heißt afio (http://directory.fsf.org/afio.html). Dieses empfehlenswerte Backup-Werkzeug setzt dort an, wo die Funktionalität von cpio endet: Es bietet beispielsweise eine integrierte Kompression, unterstützt Backups über mehrere Volumes hinweg und erkennt zudem korrupte Datenblöcke. Da afio in den meisten Distributionen nicht vorhanden ist, bleibt Ihnen die Kompilierung des Quellcodes per

make

nicht erspart. Eventuell auftretende Fehlermeldungen wie afio.o(.text+0xef 41): in function syserr können Sie getrost ignorieren, da es sich bei sys_errlist und sys_nerr um Funktionen handelt, die inzwischen nicht mehr verfügbar sind. Abgesehen von dieser Nachlässigkeit geht der Umgang mit afio einfach vonstatten. Um beispielsweise ein Backup Ihres Home-Verzeichnisses zu erstellen, übergeben Sie afio per Pipe einfach die Namen der zu sichernden Dateien.

find /home/tw | afio -o -v -Z – L /tmp/TW_backup.log /dev/st0

schreibt alle im Verzeichnis /home/tw gespeicherten Dateien direkt auf das Bandlaufwerk /dev/st0. Dabei werden die Daten komprimiert (-Z). Die Option -L weist das Tool an, auf /tmp eine entsprechende Log-Datei über den Verlauf der Datensicherung zu erstellen. Die Option -o zeigt an, dass afio die ihm zur Verfügung gestellten Dateinamen in die Sicherung mit einbezieht. Weitere Informationen zur Funktionsweise und Nutzung von afio finden Sie in der im Paket enthaltenen Manualpage sowie auf der Website des Tools.