- Significant documentation changes for 2.0.0beta0
[BackupPC.git] / doc-src / BackupPC.pod
1 =head1 BackupPC Introduction
2
3 This documentation describes BackupPC version __VERSION__,
4 released on __RELEASEDATE__.
5
6 =head2 Overview
7
8 BackupPC is a high-performance, enterprise-grade system for backing up
9 Linux and WinXX PCs, desktops and laptops to a server's disk.  BackupPC
10 is highly configurable and easy to install and maintain.
11
12 Given the ever decreasing cost of disks and raid systems, it is now
13 practical and cost effective to backup a large number of machines onto a
14 server's local disk or network storage.  For some sites this might be
15 the complete backup solution.  For other sites additional permanent
16 archives could be created by periodically backing up the server to tape.
17
18 Features include:
19
20 =over 4
21
22 =item *
23
24 A clever pooling scheme minimizes disk storage and disk I/O.
25 Identical files across multiple backups of the same or different PC
26 are stored only once (using hard links), resulting in substantial
27 savings in disk storage and disk writes.
28
29 =item *
30
31 Optional compression provides additional reductions in storage
32 (around 40%).  The CPU impact of compression is low since only
33 new files (those not already in the pool) need to be compressed.
34
35 =item *
36
37 A powerful http/cgi user interface allows administrators to view log
38 files, configuration, current status and allows users to initiate and
39 cancel backups and browse and restore files from backups.
40
41 =item *
42
43 No client-side software is needed. On WinXX the standard smb
44 protocol is used to extract backup data. On linux or unix clients,
45 rsync or tar (over ssh/rsh/nfs) is used to extract backup data.
46 Alternatively, rsync can also be used on WinXX (using cygwin),
47 and Samba could be installed on the linux or unix client to
48 provide smb shares).
49
50 =item *
51
52 Flexible restore options.  Single files can be downloaded from
53 any backup directly from the CGI interface.  Zip or Tar archives
54 for selected files or directories from any backup can also be
55 downloaded from the CGI interface.  Finally, direct restore to
56 the client machine (using smb or tar) for selected files or
57 directories is also supported from the CGI interface.
58
59 =item *
60
61 BackupPC supports mobile environments where laptops are only
62 intermittently connected to the network and have dynamic IP addresses
63 (DHCP).  Configuration settings allow machines connected via slower WAN
64 connections (eg: dial up, DSL, cable) to not be backed up, even if they
65 use the same fixed or dynamic IP address as when they are connected
66 directly to the LAN.
67
68 =item *
69
70 Flexible configuration parameters allow multiple backups to be performed
71 in parallel, specification of which shares to backup, which directories
72 to backup or not backup, various schedules for full and incremental
73 backups, schedules for email reminders to users and so on.  Configuration
74 parameters can be set system-wide or also on a per-PC basis.
75
76 =item *
77
78 Users are sent periodic email reminders if their PC has not
79 recently been backed up.  Email content, timing and policies
80 are configurable.
81
82 =item *
83
84 BackupPC is Open Source software hosted by SourceForge.
85
86 =back
87
88 =head2 Backup basics
89
90 =over 4
91
92 =item Full Backup
93
94 A full backup is a complete backup of a share. BackupPC can be configured to
95 do a full backup at a regular interval (often weekly). BackupPC can also
96 be configured to keep a certain number of full backups, and to keep
97 a smaller number of very old full backups.
98
99 =item Incremental Backup
100
101 An incremental backup is a backup of files that have changed (based on their
102 modification time) since the last successful full backup.  For SMB and
103 tar, BackupPC backups all files that have changed since one hour prior to the
104 start of the last successful full backup.  Rsync is more clever: any files
105 who attributes have changed (ie: uid, gid, mtime, modes, size) since the
106 last full are backed up.  Deleted and new files are also detected by
107 Rsync incrementals (SMB and tar are not able to detect deleted files or
108 new files whose modification time is prior to the last full dump.
109
110 BackupPC can also be configured to keep a certain number of incremental
111 backups, and to keep a smaller number of very old incremental backups.
112 (BackupPC does not support multi-level incremental backups, although it
113 would be easy to do so.)
114
115 BackupPC's CGI interface "fills-in" incremental backups based on the 
116 last full backup, giving every backup a "full" appearance.  This makes
117 browsing and restoring backups easier.
118
119 =item Identical Files
120
121 BackupPC pools identical files using hardlinks.  By "identical
122 files" we mean files with identical contents, not necessary the
123 same permissions, ownership or modification time.  Two files might
124 have different permissions, ownership, or modification time but
125 will still be pooled whenever the contents are identical.  This
126 is possible since BackupPC stores the file meta-data (permissions,
127 ownership, and modification time) separately from the file contents.
128
129 =item Backup Policy
130
131 Based on your site's requirements you need to decide what your backup
132 policy is.  BackupPC is not designed to provide exact re-imaging of
133 failed disks.  See L<Limitations|limitations> for more information.
134 However, the addition of tar transport for linux/unix clients, plus
135 full support for special file types and unix attributes in v1.4.0
136 likely means an exact image of a linux/unix file system can be made.
137
138 BackupPC saves backups onto disk. Because of pooling you can relatively
139 economically keep several weeks of old backups. But BackupPC does not
140 provide permanent storage to tape. Other Open Source applications can do
141 this by backing up BackupPC's pool directories to tape.
142
143 At some sites the disk-based backup will be adequate, without a
144 secondary tape backup. This system is robust to any single failure: if a
145 client disk fails or loses files, the BackupPC server can be used to
146 restore files. If the server disk fails, BackupPC can be restarted on a
147 fresh file system, and create new backups from the clients. The chance
148 of the server disk failing can be made very small by spending more money
149 on increasingly better RAID systems.
150
151 At other sites a secondary tape backup will be required. This tape
152 backup can be done perhaps weekly from the BackupPC pool file system.
153
154 =back
155
156 =head2 Resources
157
158 =over 4
159
160 =item BackupPC home page
161
162 The BackupPC Open Source project is hosted on SourceForge.  The
163 home page can be found at:
164
165     http://backuppc.sourceforge.net
166
167 This page has links to the current documentation, the SourceForge
168 project page and general information.
169
170 =item SourceForge project
171
172 The SourceForge project page is at:
173
174     http://sourceforge.net/projects/backuppc
175
176 This page has links to the current releases of BackupPC.
177
178 =item Mail lists
179
180 Three BackupPC mailing lists exist for announcements (backuppc-announce),
181 developers (backuppc-devel), and a general user list for support, asking
182 questions or any other topic relevant to BackupPC (backuppc-users).
183
184 You can subscribe to these lists by visiting:
185
186     http://lists.sourceforge.net/lists/listinfo/backuppc-announce
187     http://lists.sourceforge.net/lists/listinfo/backuppc-users
188     http://lists.sourceforge.net/lists/listinfo/backuppc-devel
189
190 The backuppc-announce list is moderated and is used only for
191 important announcements (eg: new versions).  It is low traffic.
192 You only need to subscribe to one of backuppc-announce and
193 backuppc-users: backuppc-users also receives any messages on
194 backuppc-announce.
195
196 The backuppc-devel list is only for developers who are working on BackupPC.
197 Do not post questions or support requests there.  But detailed technical
198 discussions should happen on this list.
199
200 To post a message to the backuppc-users list, send an email to
201
202     backuppc-users@lists.sourceforge.net
203
204 Do not send subscription requests to this address!
205
206 =item Other Programs of Interest
207
208 If you want to mirror linux or unix files or directories to a remote server
209 you should consider rsync, L<http://rsync.samba.org>.  BackupPC now uses
210 rsync as a transport mechanism; if you are already an rsync user you
211 can think of BackupPC as adding efficient storage (compression and
212 pooling) and a convenient user interface to rsync.
213
214 Unison is a utility that can do two-way, interactive, synchronization.
215 See L<http://www.cis.upenn.edu/~bcpierce/unison>.
216
217 Three popular open source packages that do tape backup are
218 Amanda (L<http://www.amanda.org>),
219 afbackup (L<http://sourceforge.net/projects/afbackup>), and
220 Bacula (L<http://www.bacula.org>).
221 Amanda can also backup WinXX machines to tape using samba.
222 These packages can be used as back ends to BackupPC to backup the
223 BackupPC server data to tape.
224
225 Various programs and scripts use rsync to provide hardlinked backups.
226 See, for example, Mike Rubel's site (L<http://www.mikerubel.org>),
227 J. W. Schultz's dirvish (L<http://www.pegasys.ws/dirvish>),
228 and John Bowman's rlbackup (L<http://www.math.ualberta.ca/imaging/rlbackup>).
229 BackupPC provides many additional features, such as compressed storage,
230 hardlinking any matching files (rather than just files with the same name),
231 and storing special files without root privileges.  But these other scripts
232 provide simple and effective solutions and are worthy of consideration.
233
234 =back
235
236 =head2 Road map
237
238 Here are some ideas for new features that might appear in future
239 releases of BackupPC:
240
241 =over 4
242
243 =item *
244
245 Adding hardlink support to rsync.
246
247 =item *
248
249 Adding block and file checksum caching to rsync.  This will significantly
250 increase performance since the server doesn't have to read each file
251 (twice) to compute the block and file checksums.
252
253 =item *
254
255 Adding a trip wire feature for notification when files below certain
256 directories change.  For example, if you are backing up a DMZ machine,
257 you could request that you get sent email if any files below /bin,
258 /sbin or /usr change.
259
260 =item *
261
262 Allow editing of config parameters via the CGI interface. Users should
263 have permission to edit a subset of the parameters for their clients.
264 Additionally, allow an optional self-service capability so that users
265 can sign up and setup their own clients with no need for IT support.
266
267 =item *
268
269 Add backend SQL support for various BackupPC metadata, including
270 configuration parameters, client lists, and backup and restore
271 information.  At installation time the backend data engine will
272 be specified (eg: MySQL, ascii text etc).
273
274 =item *
275
276 Disconnect the notion of a physical host and a backup client.
277 Currently there is a one-to-one match between physical hosts
278 and backup clients.  Instead, the current notion of a host
279 should be replaced by a backup client.  Each backup client
280 corresponds to a physical host.  A physical host could have
281 several backup clients.  This is useful for backing up
282 different types of data, or backing up different portions
283 of a machine with different frequencies or settings.
284
285 (Note: this has already been implemented in 2.0.0.)
286
287 =item *
288
289 Resuming incomplete full backups.  Useful if a machine
290 (eg: laptop) is disconnected from the network during a backup,
291 or if the user manually stops a backup.  This would be supported
292 initially for rsync.  The partial dump would be kept, and be
293 browsable.  When the next dump starts, an incremental against
294 the partial dump would be done to make sure it was up to date,
295 and then the rest of the full dump would be done.
296
297 =item *
298
299 Replacing smbclient with the perl module FileSys::SmbClient.  This
300 gives much more direct control of the smb transfer, allowing
301 incrementals to depend on any attribute change (eg: exist, mtime,
302 file size, uid, gid), and better support for include and exclude.
303 Currently smbclient incrementals only depend upon mtime, so
304 deleted files or renamed files are not detected.  FileSys::SmbClient
305 would also allow resuming of incomplete full backups in the
306 same manner as rsync will.
307
308 =item *
309
310 Support --listed-incremental or --incremental for tar,
311 so that incrementals will depend upon any attribute change (eg: exist,
312 mtime, file size, uid, gid), rather than just mtime.  This will allow
313 tar to be to as capable as FileSys::SmbClient and rsync.
314
315 =item *
316
317 For rysnc (and smb when FileSys::SmbClient is supported, and tar when
318 --listed-incremental is supported) support multi-level incrementals.
319 In fact, since incrementals will now be more "accurate", you could
320 choose to never to full dumps (except the first time), or at a
321 minimum do them infrequently: each incremental would depend upon
322 the last, giving a continuous chain of differential dumps.
323
324 =item *
325
326 Add a backup browsing feature that shows backup history by file.
327 So rather than a single directory view, it would be a table showing
328 the files (down) and the backups (across).  The internal hardlinks
329 encode which files are identical across backups.  You could immediately
330 see which files changed on which backups.
331
332 =item *
333
334 More speculative: Storing binary file deltas (in fact, reverse deltas)
335 for files that have the same name as a previous backup, but that aren't
336 already in the pool. This will save storage for things like mailbox
337 files or documents that change slightly between backups.  Running some
338 benchmarks on a large pool suggests that the potential savings are
339 around 15-20%, which isn't spectacular, and likely not worth the
340 implementation effort. The program xdelta (v1) on SourceForge (see
341 L<http://sourceforge.net/projects/xdelta>) uses an rsync algorithm for
342 doing efficient binary file deltas.  Rather than using an external
343 program, File::RsyncP will eventually get the necessary delta
344 generataion code from rsync.
345
346 =back
347
348 Comments and suggestions are welcome.
349
350 =head2 You can help
351
352 BackupPC is free. I work on BackupPC because I enjoy doing it and I like
353 to contribute to the open source community.
354
355 BackupPC already has more than enough features for my own needs.  The
356 main compensation for continuing to work on BackupPC is knowing that
357 more and more people find it useful.  So feedback is certainly
358 appreciated.  Even negative feedback is helpful, for example "We
359 evaluated BackupPC but didn't use it because it doesn't ...".
360
361 Beyond being a satisfied user and telling other people about it, everyone
362 is encouraged to add links to L<http://backuppc.sourceforge.net> (I'll
363 see then via Google) or otherwise publicize BackupPC.  Unlike the
364 commercial products in this space, I have a zero budget (in both
365 time and money) for marketing, PR and advertising, so it's up to
366 all of you!
367
368 Also, everyone is encouraged to contribute patches, bug reports, feature
369 and design suggestions, code, and documentation corrections or
370 improvements.
371
372 =head1 Installing BackupPC
373
374 =head2 Requirements
375
376 BackupPC requires:
377
378 =over 4
379
380 =item *
381
382 A linux, solaris, or unix based server with a substantial amount of free
383 disk space (see the next section for what that means). The CPU and disk
384 performance on this server will determine how many simultaneous backups
385 you can run. You should be able to run 4-8 simultaneous backups on a
386 moderately configured server.
387
388 When BackupPC starts with an empty pool, all the backup data will be
389 written to the pool on disk. After more backups are done, a higher
390 percentage of incoming files will already be in the pool. BackupPC is
391 able to avoid writing to disk new files that are already in the pool.
392 So over time disk writes will reduce significantly (by perhaps a factor
393 of 20 or more), since eventually 95% or more of incoming backup files
394 are typically in the pool. Disk reads from the pool are still needed to
395 do file compares to verify files are an exact match. So, with a mature
396 pool, if a relatively fast client generates data at say 1MB/sec, and you
397 run 4 simultaneous backups, there will be an average server disk load of
398 about 4MB/sec reads and 0.2MB/sec writes (assuming 95% of the incoming
399 files are in the pool). These rates will be perhaps 40% lower if
400 compression is on.
401
402 =item *
403
404 Perl version 5.6.0 or later. BackupPC has been tested with
405 version 5.6.0 and 5.6.1. If you don't have perl, please see
406 L<http://www.cpan.org>.
407
408 =item *
409
410 Perl modules Compress::Zlib, Archive::Zip and File::RsyncP.  Try "perldoc
411 Compress::Zlib" and "perldoc Archive::Zip" to see if you have these
412 modules.  If not, fetch them from L<http://www.cpan.org> and see the
413 instructions below for how to build and install them.
414
415 The File::RsyncP module is available from L<http://perlrsync.sourceforge.net>
416 or CPAN.  You'll need to install the File::RsyncP module if you want to use
417 Rsync as a transport method.
418
419 =item *
420
421 If you are using smb to backup WinXX machines you need smbclient and
422 nmblookup from the samba package.  You will also need nmblookup if
423 you are backing up linux/unix DHCP machines.  See L<http://www.samba.org>.
424 Version >= 2.2.0 of Samba is required (smbclient's tar feature in
425 2.0.8 and prior has bugs for file path lengths around 100 characters
426 and generates bad output when file lengths change during the backup).
427
428 See L<http://www.samba.org> for source and binaries.  It's pretty easy to
429 fetch and compile samba, and just grab smbclient and nmblookup, without
430 doing the installation. Alternatively, L<http://www.samba.org> has binary
431 distributions for most platforms.
432
433 =item *
434
435 If you are using tar to backup linux/unix machines you should have version
436 1.13.7 at a minimum, with version 1.13.20 or higher recommended.  Use
437 "tar --version" to check your version.  Various GNU mirrors have the newest
438 versions of tar, see for example L<http://www.funet.fi/pub/gnu/alpha/gnu/tar>.
439 As of February 2003 the latest version is 1.13.25.
440
441 =item *
442
443 If you are using rsync to backup linux/unix machines you should have
444 version 2.5.5 on each client machine.  See L<http://rsync.samba.org>.
445 Use "rsync --version" to check your version.
446
447 For BackupPC to use Rsync you will also need to install the perl
448 File::RsyncP module, which is available from
449 L<http://perlrsync.sourceforge.net>.  Version 0.31 is required.
450
451 =item *
452
453 The Apache web server, see L<http://www.apache.org>, preferably built
454 with mod_perl support.
455
456 =back
457
458 =head2 How much disk space do I need?
459
460 Here's one real example for an environment that is backing up 65 laptops
461 with compression off. Each full backup averages 3.2GB. Each incremental
462 backup averages about 0.2GB. Storing one full backup and two incremental
463 backups per laptop is around 240GB of raw data. But because of the
464 pooling of identical files, only 87GB is used.  This is without
465 compression.
466
467 Another example, with compression on: backing up 95 laptops, where
468 each backup averages 3.6GB and each incremental averages about 0.3GB.
469 Keeping three weekly full backups, and six incrementals is around
470 1200GB of raw data.  Because of pooling and compression, only 150GB
471 is needed.
472
473 Here's a rule of thumb. Add up the C drive usage of all the machines you
474 want to backup (210GB in the first example above). This is a rough
475 minimum space estimate that should allow a couple of full backups and at
476 least half a dozen incremental backups per machine. If compression is on
477 you can reduce the storage requirements by maybe 30-40%.  Add some margin
478 in case you add more machines or decide to keep more old backups.
479
480 Your actual mileage will depend upon the types of clients, operating
481 systems and applications you have. The more uniform the clients and
482 applications the bigger the benefit from pooling common files.
483
484 For example, the Eudora email tool stores each mail folder in a separate
485 file, and attachments are extracted as separate files. So in the sadly
486 common case of a large attachment emailed to many recipients, Eudora
487 will extract the attachment into a new file. When these machines are
488 backed up, only one copy of the file will be stored on the server, even
489 though the file appears in many different full or incremental backups. In
490 this sense Eudora is a "friendly" application from the point of view of
491 backup storage requirements.
492
493 An example at the other end of the spectrum is Outlook. Everything
494 (email bodies, attachments, calendar, contact lists) is stored in a
495 single file, which often becomes huge. Any change to this file requires
496 a separate copy of the file to be saved during backup. Outlook is even
497 more troublesome, since it keeps this file locked all the time, so it
498 cannot be read by smbclient whenever Outlook is running.  See the
499 L<Limitations|limitations> section for more discussion of this problem.
500
501 =head2 Step 1: Getting BackupPC
502
503 Download the latest version from L<http://backuppc.sourceforge.net>.
504
505 =head2 Step 2: Installing the distribution
506
507 First off, there are three perl modules you should install.
508 These are all optional, but highly recommended:
509
510 =over 4
511
512 =item Compress::Zlib
513
514 To enable compression, you will need to install Compress::Zlib
515 from L<http://www.cpan.org>.
516 You can run "perldoc Compress::Zlib" to see if this module is installed.
517
518 =item Archive::Zip
519
520 To support restore via Zip archives you will need to install
521 Archive::Zip, also from L<http://www.cpan.org>.
522 You can run "perldoc Archive::Zip" to see if this module is installed.
523
524 =item File::RsyncP
525
526 To use rsync and rsyncd with BackupPC you will need to install File::RsyncP.
527 You can run "perldoc File::RsyncP" to see if this module is installed.
528 File::RsyncP is available from L<http://perlrsync.sourceforge.net>.
529 Version 0.20 is required.
530
531 =back
532
533 To build and install these packages, fetch the tar.gz file and
534 then run these commands:
535
536     tar zxvf Archive-Zip-1.01.tar.gz
537     cd Archive-Zip-1.01
538     perl Makefile.PL
539     make
540     make test
541     make install
542
543 The same sequence of commands can be used for each module.
544
545 Now let's move onto BackupPC itself.  After fetching
546 BackupPC-__VERSION__.tar.gz, run these commands as root:
547
548     tar zxf BackupPC-__VERSION__.tar.gz
549     cd BackupPC-__VERSION__
550     perl configure.pl
551
552 You will be prompted for the full paths of various executables, and
553 you will be prompted for the following information:
554
555 =over 4
556
557 =item BackupPC User
558
559 It is best if BackupPC runs as a special user, eg backuppc, that has
560 limited privileges. It is preferred that backuppc belongs to a system
561 administrator group so that sys admin members can browse backuppc files,
562 edit the configuration files and so on. Although configurable, the
563 default settings leave group read permission on pool files, so make
564 sure the BackupPC user's group is chosen restrictively.
565
566 On this installation, this is __BACKUPPCUSER__.
567
568 =item Data Directory
569
570 You need to decide where to put the data directory, below which
571 all the BackupPC data is stored.  This needs to be a big file system.
572
573 On this installation, this is __TOPDIR__.
574
575 =item Install Directory
576
577 You should decide where the BackupPC scripts, libraries and documentation
578 should be installed, eg: /opt/local/BackupPC.
579
580 On this installation, this is __INSTALLDIR__.
581
582 =item CGI bin Directory
583
584 You should decide where the BackupPC CGI script resides.  This will
585 usually below Apache's cgi-bin directory.
586
587 On this installation, this is __CGIDIR__.
588
589 =item Apache image directory
590
591 A directory where BackupPC's images are stored so that Apache can
592 serve them.  This should be somewhere under Apache's DocumentRoot
593 directory.
594
595 =back
596
597 =head2 Step 3: Setting up config.pl
598
599 After running configure.pl, browse through the config file,
600 __INSTALLDIR__/conf/config.pl, and make sure all the default settings
601 are correct. In particular, you will need to decide whether to use
602 smb or tar transport (or whether to set it on a per-PC basis),
603 set the smb share password (if using smb), set the backup policies
604 and modify the email message headers and bodies.
605
606 BackupPC needs to know the smb share user name and password for each PC
607 that uses smb (ie: all the WinXX clients).  The user name is specified
608 in $Conf{SmbShareUserName}. There are four ways to tell BackupPC the smb
609 share password:
610
611 =over 4
612
613 =item *
614
615 As an environment variable BPC_SMB_PASSWD set before BackupPC starts.
616 If you start BackupPC manually the BPC_SMB_PASSWD variable must be set
617 manually first.  For backward compatibility for v1.5.0 and prior, the
618 environment variable PASSWD can be used if BPC_SMB_PASSWD is not set.
619 Warning: on some systems it is possible to see environment variables of
620 running processes.
621
622 =item *
623
624 Alternatively the BPC_SMB_PASSWD setting can be included in
625 /etc/init.d/backuppc, in which case you must make sure this file
626 is not world (other) readable.
627
628 =item *
629
630 As a configuration variable $Conf{SmbSharePasswd} in
631 __TOPDIR__/conf/config.pl.  If you put the password
632 here you must make sure this file is not world (other) readable.
633
634 =item *
635
636 As a configuration variable $Conf{SmbSharePasswd} in the per-PC
637 configuration file, __TOPDIR__/pc/$host/config.pl. You will have to
638 use this option if the smb share password is different for each host.
639 If you put the password here you must make sure this file is not
640 world (other) readable.
641
642 =back
643
644 Placement and protection of the smb share password is a possible
645 security risk, so please double-check the file and directory
646 permissions.  In a future version there might be support for
647 encryption of this password, but a private key will still have to
648 be stored in a protected place.  Suggestions are welcome.
649
650 =head2 Step 4: Setting up the hosts file
651
652 The file __TOPDIR__/conf/hosts contains the list of clients to backup.
653 BackupPC reads this file in three cases:
654
655 =over 4
656
657 =item *
658
659 Upon startup.
660
661 =item *
662
663 When BackupPC is sent a HUP (-1) signal.  Assuming you installed the
664 init.d script, you can also do this with "/etc/init.d/backuppc reload".
665
666 =item *
667
668 When the modification time of the hosts file changes.  BackupPC
669 checks the modification time once during each regular wakeup.
670
671 =back
672
673 Whenever you change the hosts file (to add or remove a host) you can
674 either do a kill -HUP BackupPC_pid or simply wait until the next regular
675 wakeup period.
676
677 Each line in the hosts file contains three fields, separated
678 by white space:
679
680 =over 4
681
682 =item Host name
683
684 This is typically the host name or NetBios name of the client machine
685 and should be in lower case.  The host name can contain spaces (escape
686 with a backslash), but it is not recommended.
687
688 Please read the second L<How BackupPC Finds Hosts|how backuppc finds hosts>.
689
690 In certain cases you might want several distinct clients to refer
691 to the same physical machine.  For example, you might have a database
692 you want to backup, and you want to bracket the backup of the database
693 with shutdown/restart using $Conf{DumpPreUserCmd} and $Conf{DumpPostUserCmd}.
694 But you also want to backup the rest of the machine while the database
695 is still running.  In the case you can specify two different clients in
696 the host file, using any mnemonic name (eg: myhost_mysql and myhost), and
697 use $Conf{ClientNameAlias} in myhost_mysql's config.pl to specify the
698 real host name of the machine.
699
700 =item DHCP flag
701
702 Starting with v2.0.0 the way hosts are discovered has changed and now
703 in most cases you should specify 0 for the DHCP flag, even if the host
704 has a dynamically assigned IP address.
705 Please read the second L<How BackupPC Finds Hosts|how backuppc finds hosts>
706 to understand whether you need to set the DHCP flag.
707
708 You only need to set DHCP to 1 if your client machine doesn't
709 respond to the NetBios multicast request:
710
711     nmblookup myHost
712
713 but does respond to a request directed to its IP address:
714
715     nmblookup -A W.X.Y.Z
716
717 If you do set DHCP to 1 on any client you will need to specify the range of
718 DHCP addresses to search is specified in $Conf{DHCPAddressRanges}.
719
720 Note also that the $Conf{ClientNameAlias} feature does not work for
721 clients with DHCP set to 1.
722     
723 =item User name
724
725 This should be the unix login/email name of the user who "owns" or uses
726 this machine. This is the user who will be sent email about this
727 machine, and this user will have permission to stop/start/browse/restore
728 backups for this host.  Leave this blank if no specific person should
729 receive email or be allowed to stop/start/browse/restore backups
730 for this host.  Administrators will still have full permissions.
731
732 =item More users
733
734 Additional user names, separate by commas and with no white space,
735 can be specified.  These users will also have full permission in
736 the CGI interface to stop/start/browse/restore backups for this host.
737 These users will not be sent email about this host.
738
739 =back
740
741 The first non-comment line of the hosts file is special: it contains
742 the names of the columns and should not be edited.
743
744 Here's a simple example of a hosts file:
745
746     host        dhcp    user      moreUsers
747     farside     0       craig     jim,dave
748     larson      1       gary      andy
749
750 =head2 Step 5: Client Setup
751
752 Two methods for getting backup data from a client are
753 supported: smb and tar. Smb is the preferred method for WinXX clients
754 and tar is preferred method for linux/unix clients.
755
756 The transfer method is set using the $Conf{XferMethod} configuration
757 setting. If you have a mixed environment (ie: you will use smb for some
758 clients and tar for others), you will need to pick the most common
759 choice for $Conf{XferMethod} for the main config.pl file, and then
760 override it in the per-PC config file for those hosts that will use
761 the other method.  (Or you could run two completely separate instances
762 of BackupPC, with different data directories, one for WinXX and the
763 other for linux/unix, but then common files between the different
764 machine types will duplicated.)
765
766 Here are some brief client setup notes:
767
768 =over 4
769
770 =item WinXX
771
772 The preferred setup for WinXX clients is to set $Conf{XferMethod} to "smb".
773 (Actually, for v2.0.0, rsyncd is the better method for WinXX if you are
774 prepared to run rsync/cygwin on your WinXX client.  More information
775 about this will be provided via the FAQ.)
776
777 You need to create shares for the data you want to backup.
778 Open "My Computer", right click on the drive (eg: C), and
779 select "Sharing..." (or select "Properties" and select the
780 "Sharing" tab).  In this dialog box you can enable sharing,
781 select the share name and permissions.
782
783 If this machine uses DHCP you will also need to make sure the
784 NetBios name is set.  Go to Control Panel|System|Network Identification
785 (on Win2K) or Control Panel|System|Computer Name (on WinXP).
786 Also, you should go to Control Panel|Network Connections|Local Area
787 Connection|Properties|Internet Protocol (TCP/IP)|Properties|Advanced|WINS
788 and verify that NetBios is not disabled.
789
790 As an alternative to setting $Conf{XferMethod} to "smb" (using
791 smbclient) for WinXX clients, you can use an smb network filesystem (eg:
792 ksmbfs or similar) on your linux/unix server to mount the share,
793 and then set $Conf{XferMethod} to "tar" (use tar on the network
794 mounted file system).
795
796 Also, to make sure that file names with 8-bit characters are correctly
797 transferred by smbclient you should add this to samba's smb.conf file:
798
799     [global]
800         # Accept the windows charset
801         client code page = 850
802         character set = ISO8859-1
803
804 This setting should work for western europe.  
805 See L<http://www.oreilly.com/catalog/samba/chapter/book/ch08_03.html>
806 for more information about settings for other languages.
807
808 =item Linux/Unix
809
810 The preferred setup for linux/unix clients is to set $Conf{XferMethod}
811 to "rsync", "rsyncd" or "tar".
812
813 You can use either rsync, smb, or tar for linux/unix machines. Smb requires
814 that the Samba server (smbd) be run to provide the shares. Since the smb
815 protocol can't represent special files like symbolic links and fifos,
816 tar and rsync are the better transport methods for linux/unix machines.
817 (In fact, by default samba makes symbolic links look like the file or
818 directory that they point to, so you could get an infinite loop if a
819 symbolic link points to the current or parent directory. If you really
820 need to use Samba shares for linux/unix backups you should turn off the
821 "follow symlinks" samba config setting. See the smb.conf manual page.)
822
823 The requirements for each Xfer Method are:
824
825 =over 4
826
827 =item tar
828
829 You must have GNU tar on the client machine.  Use "tar --version"
830 or "gtar --version" to verify.  The version should be at least
831 1.13.7, and 1.13.20 or greater is recommended.  Tar is run on
832 the client machine via rsh or ssh.
833
834 The relevant configuration settings are $Conf{TarClientPath},
835 $Conf{TarShareName}, $Conf{TarClientCmd}, $Conf{TarFullArgs},
836 $Conf{TarIncrArgs}, and $Conf{TarClientRestoreCmd}.
837
838 =item rsync
839
840 You should have at least rsync 2.5.5, and the latest version 2.5.6
841 is recommended.  Rsync is run on the remote client via rsh or ssh.
842
843 The relevant configuration settings are $Conf{RsyncClientPath},
844 $Conf{RsyncClientCmd}, $Conf{RsyncClientRestoreCmd}, $Conf{RsyncShareName},
845 $Conf{RsyncArgs}, $Conf{RsyncRestoreArgs} and $Conf{RsyncLogLevel}.
846
847 =item rsyncd
848
849 You should have at least rsync 2.5.5, and the latest version 2.5.6
850 is recommended.  In this case the rsync daemon should be running on
851 the client machine and BackupPC connects directly to it.
852
853 The relevant configuration settings are $Conf{RsyncdClientPort},
854 $Conf{RsyncdUserName}, $Conf{RsyncdPasswd}, $Conf{RsyncdAuthRequired},
855 $Conf{RsyncShareName}, $Conf{RsyncArgs}, $Conf{RsyncRestoreArgs}
856 and $Conf{RsyncLogLevel}.  In the case of rsyncd, $Conf{RsyncShareName}
857 is the name of an rsync module (ie: the thing in square brackets in
858 rsyncd's conf file -- see rsyncd.conf), not a file system path.
859
860 =back
861
862 For linux/unix machines you should not backup "/proc".  This directory
863 contains a variety of files that look like regular files but they are
864 special files that don't need to be backed up (eg: /proc/kcore is a
865 regular file that contains physical memory).  See $Conf{BackupFilesExclude}.
866 It is safe to back up /dev since it contains mostly character-special
867 and block-special files, which are correctly handed by BackupPC
868 (eg: backing up /dev/hda5 just saves the block-special file information,
869 not the contents of the disk).
870
871 Alternatively, rather than backup all the file systems as a single
872 share ("/"), it is easier to restore a single file system if you backup
873 each file system separately.  To do this you should list each file system
874 mount point in $Conf{TarShareName} or $Conf{RsyncShareName}, and add the
875 --one-file-system option to $Conf{TarClientCmd} or add --one-file-system
876 (note the different punctuation) to $Conf{RsyncArgs}.  In this case there
877 is no need to exclude /proc explicitly since it looks like a different
878 file system.
879
880 Next you should decide whether to run tar over ssh, rsh or nfs. Ssh is
881 the preferred method. Rsh is not secure and therefore not recommended.
882 Nfs will work, but you need to make sure that the BackupPC user (running
883 on the server) has sufficient permissions to read all the files below
884 the nfs mount.
885
886 Ssh allows BackupPC to run as a privileged user on the client (eg:
887 root), since it needs sufficient permissions to read all the backup
888 files. Ssh is setup so that BackupPC on the server (an otherwise low
889 privileged user) can ssh as root on the client, without being prompted
890 for a password. There are two common versions of ssh: v1 and v2. Here
891 are some instructions for one way to setup ssh.  (Check which version
892 of SSH you have by typing "ssh" or "man ssh".)
893
894 =over 4
895
896 =item OpenSSH Instructions
897
898 =over 4
899
900 =item Key generation
901
902 As root on the client machine, use ssh-keygen to generate a
903 public/private key pair, without a pass-phrase:
904
905     ssh-keygen -t rsa -N ''
906
907 This will save the public key in ~/.ssh/id_rsa.pub and the private
908 key in ~/.ssh/id_rsa.
909
910 =item BackupPC setup
911
912 Repeat the above steps for the BackupPC user (__BACKUPPCUSER__) on the server.
913 Make a copy of the public key to make it recognizable, eg:
914
915     ssh-keygen -t rsa -N ''
916     cp ~/.ssh/id_rsa.pub ~/.ssh/BackupPC_id_rsa.pub
917
918 See the ssh and sshd manual pages for extra configuration information.
919
920 =item Key exchange
921
922 To allow BackupPC to ssh to the client as root, you need to place
923 BackupPC's public key into root's authorized list on the client.
924 Append BackupPC's public key (BackupPC_id_rsa.pub) to root's
925 ~/.ssh/authorized_keys2 file on the client:
926
927     touch ~/.ssh/authorized_keys2
928     cat BackupPC_id_rsa.pub >> ~/.ssh/authorized_keys2
929
930 You should edit ~/.ssh/authorized_keys2 and add further specifiers,
931 eg: from, to limit which hosts can login using this key.  For example,
932 if your BackupPC host is called backuppc.my.com, there should be
933 one line in ~/.ssh/authorized_keys2 that looks like:
934
935     from="backuppc.my.com" ssh-rsa [base64 key, eg: ABwBCEAIIALyoqa8....]
936
937 =item Fix permissions
938
939 You will probably need to make sure that all the files
940 in ~/.ssh have no group or other read/write permission:
941
942     chmod -R go-rwx ~/.ssh
943
944 You should do the same thing for the BackupPC user on the server.
945
946 =item Testing
947
948 As the BackupPC user on the server, verify that this command:
949
950     ssh -l root clientHostName whoami
951
952 prints
953
954     root
955
956 You might be prompted the first time to accept the client's host key and
957 you might be prompted for root's password on the client.  Make sure that
958 this command runs cleanly with no prompts after the first time.  You
959 might need to check /etc/hosts.equiv on the client.  Look at the
960 man pages for more information.  The "-v" option to ssh is a good way
961 to get detailed information about what fails.
962
963 =back
964
965 =item SSH2 Instructions
966
967 =over 4
968
969 =item Key generation
970
971 As root on the client machine, use ssh-keygen2 to generate a
972 public/private key pair, without a pass-phrase:
973
974     ssh-keygen2 -t rsa -P
975
976 or:
977
978     ssh-keygen -t rsa -N ''
979
980 (This command might just be called ssh-keygen on your machine.)
981
982 This will save the public key in /.ssh2/id_rsa_1024_a.pub and the private
983 key in /.ssh2/id_rsa_1024_a.
984
985 =item Identification
986
987 Create the identification file /.ssh2/identification:
988
989     echo "IdKey id_rsa_1024_a" > /.ssh2/identification
990
991 =item BackupPC setup
992
993 Repeat the above steps for the BackupPC user (__BACKUPPCUSER__) on the server.
994 Rename the key files to recognizable names, eg:
995
996     ssh-keygen2 -t rsa -P
997     mv ~/.ssh2/id_rsa_1024_a.pub ~/.ssh2/BackupPC_id_rsa_1024_a.pub
998     mv ~/.ssh2/id_rsa_1024_a     ~/.ssh2/BackupPC_id_rsa_1024_a
999     echo "IdKey BackupPC_id_rsa_1024_a" > ~/.ssh2/identification
1000
1001 Based on your ssh2 configuration, you might also need to turn off
1002 StrictHostKeyChecking and PasswordAuthentication:
1003
1004     touch ~/.ssh2/ssh2_config
1005     echo "StrictHostKeyChecking ask" >> ~/.ssh2/ssh2_config
1006     echo "PasswordAuthentication no" >> ~/.ssh2/ssh2_config
1007
1008 =item Key exchange
1009
1010 To allow BackupPC to ssh to the client as root, you need to place
1011 BackupPC's public key into root's authorized list on the client.
1012 Copy BackupPC's public key (BackupPC_id_rsa_1024_a.pub) to the
1013 /.ssh2 directory on the client.  Add the following line to the
1014 /.ssh2/authorization file on the client (as root):
1015
1016     touch /.ssh2/authorization
1017     echo "Key BackupPC_id_rsa_1024_a.pub" >> /.ssh2/authorization
1018
1019 =item Fix permissions
1020
1021 You will probably need to make sure that all the files
1022 in /.ssh2 have no group or other read/write permission:
1023
1024     chmod -R go-rwx /.ssh2
1025
1026 You should do the same thing for the BackupPC user on the server.
1027
1028 =item Testing
1029
1030 As the BackupPC user on the server, verify that this command:
1031
1032     ssh2 -l root clientHostName whoami
1033
1034 prints
1035
1036     root
1037
1038 You might be prompted the first time to accept the client's host key and
1039 you might be prompted for root's password on the client.  Make sure that
1040 this command runs cleanly with no prompts after the first time.  You
1041 might need to check /etc/hosts.equiv on the client.  Look at the
1042 man pages for more information.  The "-v" option to ssh2 is a good way
1043 to get detailed information about what fails.
1044
1045 =back
1046
1047 =item SSH version 1 Instructions
1048
1049 The concept is identical and the steps are similar, but the specific
1050 commands and file names are slightly different.
1051
1052 First, run ssh-keygen on the client (as root) and server (as the BackupPC
1053 user) and simply hit enter when prompted for the pass-phrase:
1054
1055     ssh-keygen
1056
1057 This will save the public key in /.ssh/identity.pub and the private
1058 key in /.ssh/identity.
1059
1060 Next, append BackupPC's ~/.ssh/identity.pub (from the server) to root's
1061 /.ssh/authorized_keys file on the client.  It's a single long line that
1062 you can cut-and-paste with an editor (make sure it remains a single line).
1063
1064 Next, force protocol version 1 by adding:
1065
1066     Protocol 1
1067
1068 to BackupPC's ~/.ssh/config on the server.
1069
1070 Next, run "chmod -R go-rwx ~/.ssh" on the server and "chmod -R go-rwx /.ssh"
1071 on the client.
1072
1073 Finally, test using:
1074
1075     ssh -l root clientHostName whoami
1076
1077 =back
1078
1079 Finally, if this machine uses DHCP you will need to run nmbd (the
1080 NetBios name server) from the Samba distribution so that the machine
1081 responds to a NetBios name request. See the manual page and Samba
1082 documentation for more information.
1083
1084 =back
1085
1086 =head2 Step 6: Running BackupPC
1087
1088 The installation contains an init.d backuppc script that can be copied
1089 to /etc/init.d so that BackupPC can auto-start on boot.
1090 See init.d/README for further instructions.
1091
1092 BackupPC should be ready to start.  If you installed the init.d script,
1093 then you should be able to run BackupPC with:
1094
1095     /etc/init.d/backuppc start
1096
1097 (This script can also be invoked with "stop" to stop BackupPC and "reload"
1098 to tell BackupPC to reload config.pl and the hosts file.)
1099
1100 Otherwise, just run
1101
1102      __INSTALLDIR__/bin/BackupPC -d
1103
1104 as user __BACKUPPCUSER__.  The -d option tells BackupPC to run as a daemon
1105 (ie: it does an additional fork).
1106
1107 Any immediate errors will be printed to stderr and BackupPC will quit.
1108 Otherwise, look in __TOPDIR__/log/LOG and verify that BackupPC reports
1109 it has started and all is ok.
1110
1111 =head2 Step 7: Talking to BackupPC
1112
1113 Note: as of version 1.5.0, BackupPC no longer supports telnet
1114 to its TCP port.  First off, a unix domain socket is used
1115 instead of a TCP port.  (The TCP port can still be re-enabled
1116 if your installation has apache and BackupPC running on different
1117 machines.)  Secondly, even if you still use the TCP port, the
1118 messages exchanged over this interface are now protected by
1119 an MD5 digest based on a shared secret (see $Conf{ServerMesgSecret})
1120 as well as sequence numbers and per-session unique keys, preventing
1121 forgery and replay attacks.
1122
1123 You should verify that BackupPC is running by using BackupPC_serverMesg.
1124 This sends a message to BackupPC via the unix (or TCP) socket and prints
1125 the response.
1126
1127 You can request status information and start and stop backups using this
1128 interface. This socket interface is mainly provided for the CGI interface
1129 (and some of the BackupPC sub-programs use it too).  But right now we just
1130 want to make sure BackupPC is happy.  Each of these commands should
1131 produce some status output:
1132
1133     __INSTALLDIR__/bin/BackupPC_serverMesg status info
1134     __INSTALLDIR__/bin/BackupPC_serverMesg status jobs
1135     __INSTALLDIR__/bin/BackupPC_serverMesg status hosts
1136
1137 The output should be some hashes printed with Data::Dumper.  If it
1138 looks cryptic and confusing, and doesn't look like an error message,
1139 then all is ok.
1140
1141 The jobs status should initially show just BackupPC_trashClean.
1142 The hosts status should produce a list of every host you have listed
1143 in __TOPDIR__/conf/hosts as part of a big cryptic output line.
1144
1145 You can also request that all hosts be queued:
1146
1147     __INSTALLDIR__/bin/BackupPC_serverMesg backup all
1148
1149 At this point you should make sure the CGI interface works since
1150 it will be much easier to see what is going on.  That's our
1151 next subject.
1152
1153 =head2 Step 8: CGI interface
1154
1155 The CGI interface script, BackupPC_Admin, is a powerful and flexible
1156 way to see and control what BackupPC is doing.  It is written for an
1157 Apache server.  If you don't have Apache, see L<http://www.apache.org>.
1158
1159 There are two options for setting up the CGI interface: standard
1160 mode and using mod_perl.  Mod_perl provides much higher performance
1161 (around 15x) and is the best choice if your Apache was built with
1162 mod_perl support.  To see if your apache was built with mod_perl
1163 run this command:
1164
1165     httpd -l | egrep mod_perl
1166
1167 If this prints mod_perl.c then your Apache supports mod_perl.
1168
1169 Using mod_perl with BackupPC_Admin requires a dedicated Apache
1170 to be run as the BackupPC user (__BACKUPPCUSER__).  This is
1171 because BackupPC_Admin needs permission to access various files
1172 in BackupPC's data directories.  In contrast, the standard
1173 installation (without mod_perl) solves this problem by having
1174 BackupPC_Admin installed as setuid to the BackupPC user, so that
1175 BackupPC_Admin runs as the BackuPC user.
1176
1177 Here are some specifics for each setup:
1178
1179 =over 4
1180
1181 =item Standard Setup
1182
1183 The CGI interface should have been installed by the configure.pl script
1184 in __CGIDIR__/BackupPC_Admin.  BackupPC_Admin should have been installed
1185 as setuid to the BackupPC user (__BACKUPPCUSER__), in addition to user
1186 and group execute permission.
1187
1188 You should be very careful about permissions on BackupPC_Admin and
1189 the directory __CGIDIR__: it is important that normal users cannot
1190 directly execute or change BackupPC_Admin, otherwise they can access
1191 backup files for any PC. You might need to change the group ownership
1192 of BackupPC_Admin to a group that Apache belongs to so that Apache
1193 can execute it (don't add "other" execute permission!).
1194 The permissions should look like this:
1195
1196     ls -l __CGIDIR__/BackupPC_Admin
1197     -swxr-x---    1 __BACKUPPCUSER__   web      82406 Jun 17 22:58 __CGIDIR__/BackupPC_Admin
1198
1199 The setuid script won't work unless perl on your machine was installed
1200 with setuid emulation.  This is likely the problem if you get an error
1201 saying such as "Wrong user: my userid is 25, instead of 150", meaning
1202 the script is running as the httpd user, not the BackupPC user.
1203 This is because setuid scripts are disabled by the kernel in most
1204 flavors of unix and linux.
1205
1206 To see if your perl has setuid emulation, see if there is a program
1207 called sperl5.6.0 or sperl5.6.1 in the place where perl is installed.
1208 If you can't find this program, then you have two options: rebuild
1209 and reinstall perl with the setuid emulation turned on (answer "y" to
1210 the question "Do you want to do setuid/setgid emulation?" when you
1211 run perl's configure script), or switch to the mod_perl alternative
1212 for the CGI script (which doesn't need setuid to work).
1213
1214 =item Mod_perl Setup
1215
1216 The advantage of the mod_perl setup is that no setuid script is needed,
1217 and there is a huge performance advantage.  Not only does all the perl
1218 code need to be parsed just once, the config.pl and hosts files, plus
1219 the connection to the BackupPC server are cached between requests.  The
1220 typical speedup is around 15 times.
1221
1222 To use mod_perl you need to run Apache as user __BACKUPPCUSER__.
1223 If you need to run multiple Apache's for different services then
1224 you need to create multiple top-level Apache directories, each
1225 with their own config file.  You can make copies of /etc/init.d/httpd
1226 and use the -d option to httpd to point each http to a different
1227 top-level directory.  Or you can use the -f option to explicitly
1228 point to the config file.  Multiple Apache's will run on different
1229 Ports (eg: 80 is standard, 8080 is a typical alternative port accessed
1230 via http://yourhost.com:8080).
1231
1232 Inside BackupPC's Apache http.conf file you should check the
1233 settings for ServerRoot, DocumentRoot, User, Group, and Port.  See 
1234 L<http://httpd.apache.org/docs/server-wide.html> for more details.
1235
1236 For mod_perl, BackupPC_Admin should not have setuid permission, so
1237 you should turn it off:
1238
1239     chmod u-s __CGIDIR__/BackupPC_Admin
1240
1241 To tell Apache to use mod_perl to execute BackupPC_Admin, add this
1242 to Apache's httpd.conf file:
1243
1244     <IfModule mod_perl.c>
1245         PerlModule Apache::Registry
1246         PerlTaintCheck On
1247         <Location /cgi-bin/BackupPC/BackupPC_Admin>   # <--- change path as needed
1248            SetHandler perl-script
1249            PerlHandler Apache::Registry
1250            Options ExecCGI
1251         </Location>
1252     </IfModule>
1253
1254 There are other optimizations and options with mod_perl.  For
1255 example, you can tell mod_perl to preload various perl modules,
1256 which saves memory compared to loading separate copies in every
1257 Apache process after they are forked. See Stas's definitive
1258 mod_perl guide at L<http://perl.apache.org/guide>.
1259
1260 =back
1261
1262 BackupPC_Admin requires that users are authenticated by Apache.
1263 Specifically, it expects that Apache sets the REMOTE_USER environment
1264 variable when it runs.  There are several ways to do this.  One way
1265 is to create a .htaccess file in the cgi-bin directory that looks like:
1266
1267     AuthGroupFile /etc/httpd/conf/group    # <--- change path as needed
1268     AuthUserFile /etc/http/conf/passwd     # <--- change path as needed
1269     AuthType basic
1270     AuthName "access"
1271     require valid-user
1272
1273 You will also need "AllowOverride Indexes AuthConfig" in the Apache
1274 httpd.conf file to enable the .htaccess file. Alternatively, everything
1275 can go in the Apache httpd.conf file inside a Location directive. The
1276 list of users and password file above can be extracted from the NIS
1277 passwd file.
1278
1279 One alternative is to use LDAP.  In Apache's http.conf add these lines:
1280
1281     LoadModule auth_ldap_module   modules/auth_ldap.so
1282     AddModule auth_ldap.c
1283
1284     # cgi-bin - auth via LDAP (for BackupPC)
1285     <Location /cgi-binBackupPC/BackupPC_Admin>    # <--- change path as needed
1286       AuthType Basic
1287       AuthName "BackupPC login"
1288       # replace MYDOMAIN, PORT, ORG and CO as needed
1289       AuthLDAPURL ldap://ldap.MYDOMAIN.com:PORT/o=ORG,c=CO?uid?sub?(objectClass=*)
1290       require valid-user
1291     </Location>
1292
1293 If you want to defeat the user authentication you can force a
1294 particular user name by getting Apache to set REMOTE_USER, eg,
1295 to hardcode the user to www you could add this to httpd.conf:
1296
1297     <Location /cgi-bin/BackupPC/BackupPC_Admin>   # <--- change path as needed
1298         Setenv REMOTE_USER www
1299     </Location>
1300
1301 Finally, you should also edit the config.pl file and adjust, as necessary,
1302 the CGI-specific settings.  They're near the end of the config file. In
1303 particular, you should specify which users or groups have administrator
1304 (privileged) access.  Also, the configure.pl script placed various
1305 images into $Conf{CgiImageDir} that BackupPC_Admin needs to serve
1306 up.  You should make sure that $Conf{CgiImageDirURL} is the correct
1307 URL for the image directory.
1308
1309 =head2 How BackupPC Finds Hosts
1310
1311 Starting with v2.0.0 the way hosts are discovered has changed.  In most
1312 cases you should specify 0 for the DHCP flag in the conf/hosts file,
1313 even if the host has a dynamically assigned IP address.
1314
1315 BackupPC (starting with v2.0.0) looks up hosts with DHCP = 0 in this manner:
1316
1317 =over 4
1318
1319 =item *
1320
1321 First DNS is used to lookup the IP address given the client's name
1322 using perl's gethostbyname() function.  This should succeed for machines
1323 that have fixed IP addresses that are known via DNS.  You can manually
1324 see whether a given host have a DNS entry according to perls'
1325 gethostbyname function with this command:
1326
1327     perl -e 'print(gethostbyname("myhost") ? "ok\n" : "not found\n");'
1328
1329 =item *
1330
1331 If gethostbyname() fails, BackupPC then attempts a NetBios multicast to
1332 find the host.  Provided your client machine is configured properly,
1333 it should respond to this NetBios multicast request.  Specifically,
1334 BackupPC runs a command of this form:
1335
1336     nmblookup myhost
1337
1338 If this fails you will see output like:
1339
1340     querying myhost on 10.10.255.255
1341     name_query failed to find name myhost
1342
1343 If this success you will see output like:
1344
1345     querying myhost on 10.10.255.255
1346     10.10.1.73 myhost<00>
1347
1348 Depending on your netmask you might need to specify the -B option to
1349 nmblookup.  For example:
1350
1351     nmblookup -B 10.10.1.255 myhost
1352     
1353 If necessary, experiment on the nmblookup command that will return the
1354 IP address of the client given its name.  Then update
1355 $Conf{NmbLookupFindHostCmd} with any necessary options to nmblookup.
1356
1357 =back
1358
1359 For hosts that have the DHCP flag set to 1, these machines are
1360 discovered as follows:
1361
1362 =over 4
1363
1364 =item *
1365
1366 A DHCP address pool ($Conf{DHCPAddressRanges}) needs to be specified.
1367 BackupPC will check the NetBIOS name of each machine in the range using
1368 a command of the form:
1369
1370     nmblookup -A W.X.Y.Z
1371
1372 where W.X.Y.Z is each candidate address from $Conf{DHCPAddressRanges}.
1373 Any host that has a valid NetBIOS name returned by this command (ie:
1374 matching an entry in the hosts file) will be backed up.  You can
1375 modify the specific nmblookup command if necessary via $Conf{NmbLookupCmd}.
1376
1377 =item *
1378
1379 You only need to use this DHCP feature if your client machine doesn't
1380 respond to the NetBios multicast request:
1381
1382     nmblookup myHost
1383
1384 but does respond to a request directed to its IP address:
1385
1386     nmblookup -A W.X.Y.Z
1387
1388 =back
1389
1390 =head2 Other installation topics
1391
1392 =over 4
1393
1394 =item Copying the pool
1395
1396 If the pool disk requirements grow you might need to copy the entire
1397 data directory to a new (bigger) file system.  Hopefully you are lucky
1398 enough to avoid this by having the data directory on a RAID file system
1399 or LVM that allows the capacity to be grown in place by adding disks.
1400
1401 The backup data directories contain large numbers of hardlinks.  If
1402 you try to copy the pool the target directory will occupy a lot more
1403 space if the hardlinks aren't re-established.
1404
1405 The GNU cp program with the -a option is aware of hardlinks and knows
1406 to re-establish them.  So GNU cp -a is the recommended way to copy
1407 the data directory and pool.  Don't forget to stop BackupPC while
1408 the copy runs.
1409
1410 =item Compressing an existing pool
1411
1412 If you are upgrading BackupPC and want to turn compression on you have
1413 two choices:
1414
1415 =over 4
1416
1417 =item *
1418
1419 Simply turn on compression.  All new backups will be compressed. Both old
1420 (uncompressed) and new (compressed) backups can be browsed and viewed.
1421 Eventually, the old backups will expire and all the pool data will be
1422 compressed. However, until the old backups expire, this approach could
1423 require 60% or more additional pool storage space to store both
1424 uncompressed and compressed versions of the backup files.
1425
1426 =item *
1427
1428 Convert all the uncompressed pool files and backups to compressed.
1429 The script __INSTALLDIR__/bin/BackupPC_compressPool does this.
1430 BackupPC must not be running when you run BackupPC_compressPool.
1431 Also, there must be no existing compressed backups when you
1432 run BackupPC_compressPool.
1433
1434 BackupPC_compressPool compresses all the files in the uncompressed pool
1435 (__TOPDIR__/pool) and moves them to the compressed pool
1436 (__TOPDIR__/cpool). It rewrites the files in place, so that the
1437 existing hardlinks are not disturbed.
1438
1439 =back
1440
1441 The rest of this section discusses how to run BackupPC_compressPool.
1442
1443 BackupPC_compressPool takes three command line options:
1444
1445 =over 4
1446
1447 =item -t
1448
1449 Test mode: do everything except actually replace the pool files.
1450 Useful for estimating total run time without making any real
1451 changes.
1452
1453 =item -r
1454
1455 Read check: re-read the compressed file and compare it against
1456 the original uncompressed file.  Can only be used in test mode.
1457
1458 =item -c #
1459
1460 Number of children to fork. BackupPC_compressPool can take a long time
1461 to run, so to speed things up it spawns four children, each working on a
1462 different part of the pool. You can change the number of children with
1463 the -c option.
1464
1465 =back
1466
1467 Here are the recommended steps for running BackupPC_compressPool:
1468
1469 =over 4
1470
1471 =item *
1472
1473 Stop BackupPC (eg: "/etc/init.d/backuppc stop").
1474
1475 =item *
1476
1477 Set $Conf{CompressLevel} to a non-zero number (eg: 3).
1478
1479 =item *
1480
1481 Do a dry run of BackupPC_compressPool.  Make sure you run this as
1482 the BackupPC user (__BACKUPPCUSER__):
1483
1484     BackupPC_compressPool -t -r
1485
1486 The -t option (test mode) makes BackupPC_compressPool do all the steps,
1487 but not actually change anything. The -r option re-reads the compressed
1488 file and compares it against the original.
1489
1490 BackupPC_compressPool gives a status as it completes each 1% of the job.
1491 It also shows the cumulative compression ratio and estimated completion
1492 time.  Once you are comfortable that things look ok, you can kill
1493 BackupPC_compressPool or wait for it to finish.
1494
1495 =item *
1496
1497 Now you are ready to run BackupPC_compressPool for real.  Once again,
1498 as the BackupPC user (__BACKUPPCUSER__), run:
1499
1500     BackupPC_compressPool
1501
1502 You should put the output into a file and tail this file.  (The running
1503 time could be twice as long as the test mode since the test mode file
1504 writes are immediately followed by an unlink, so in test mode it is
1505 likely the file writes never make it to disk.)
1506
1507 It is B<critical> that BackupPC_compressPool runs to completion before
1508 re-starting BackupPC.  Before BackupPC_compressPool completes, none of
1509 the existing backups will be in a consistent state.  If you must stop
1510 BackupPC_compressPool for some reason, send it an INT or TERM signal
1511 and give it several seconds (or more) to clean up gracefully.
1512 After that, you can re-run BackupPC_compressPool and it will start
1513 again where it left off.  Once again, it is critical that it runs
1514 to 100% completion.
1515
1516 =back
1517
1518 After BackupPC_compressPool completes you should have a complete set
1519 of compressed backups (and your disk usage should be lower).  You
1520 can now re-start BackupPC.
1521
1522 =back
1523
1524 =head2 Debugging installation problems
1525
1526 This section will probably grow based on the types of questions on
1527 the BackupPC mail list.
1528
1529 Assuming BackupPC can start correctly you should inspect __TOPDIR__/log/LOG
1530 for any errors.  Assuming backups for a particular host start, you
1531 should be able to look in __TOPDIR__/pc/$host/LOG for error messages
1532 specific to that host.
1533
1534 The most likely problems will relate to connecting to the smb shares on
1535 each host.  On each failed backup, a file __TOPDIR__/pc/$host/XferERR will
1536 be created. This is the stderr output from smbclient. The first line
1537 will show the full smbclient command that was run. Based on the error
1538 messages you should figure out what is wrong.  Possible errors on the
1539 server side are invalid host, invalid share name, bad username or password.
1540 Possible errors on the client side are misconfiguration of the share,
1541 username or password.
1542
1543 You should run smbclient manually and verify that you can connect to
1544 the host in interactive mode, eg:
1545
1546     smbclient '\\hostName\shareName' -U userName
1547
1548 shareName should match the $Conf{SmbShareName} setting and userName
1549 should match the the $Conf{SmbShareUserName} setting.
1550
1551 You will be prompted for the password. You should then see this prompt:
1552
1553     smb: \>
1554
1555 Verify that "ls" works and then type "quit" to exit.
1556
1557 Secondly, you should also verify that nmblookup correctly returns
1558 the netbios name.  This is essential for DHCP hosts, and depending
1559 upon the setting of $Conf{FixedIPNetBiosNameCheck} might also be
1560 required for fixed IP address hosts too.  Run this command:
1561
1562     nmblookup -A hostName
1563
1564 Verify that the host name is printed.  The output might look like:
1565
1566     received 7 names
1567             DELLLS13        <00> -         P <ACTIVE> 
1568             DOMAINNAME      <00> - <GROUP> P <ACTIVE> 
1569             DELLLS13        <20> -         P <ACTIVE> 
1570             DOMAINNAME      <1e> - <GROUP> P <ACTIVE> 
1571             DELLLS13        <03> -         P <ACTIVE> 
1572             DELLLS13$       <03> -         P <ACTIVE> 
1573             CRAIG           <03> -         P <ACTIVE> 
1574
1575 The first name, converted to lower case, is used for the host name.
1576
1577 =head1 Restore functions
1578
1579 BackupPC supports several different methods for restoring files. The
1580 most convenient restore options are provided via the CGI interface.
1581 Alternatively, backup files can be restored using manual commands.
1582
1583 =head2 CGI restore options
1584
1585 By selecting a host in the CGI interface, a list of all the backups
1586 for that machine will be displayed.  By selecting the backup number
1587 you can navigate the shares and directory tree for that backup.
1588
1589 BackupPC's CGI interface automatically fills incremental backups
1590 with the corresponding full backup, which means each backup has
1591 a filled appearance.  Therefore, there is no need to do multiple
1592 restores from the incremental and full backups: BackupPC does all
1593 the hard work for you.  You simply select the files and directories
1594 you want from the correct backup vintage in one step.
1595
1596 You can download a single backup file at any time simply by selecting
1597 it.  Your browser should prompt you with the file name and ask you
1598 whether to open the file or save it to disk.
1599
1600 Alternatively, you can select one or more files or directories in
1601 the currently selected directory and select "Restore selected files".
1602 (If you need to restore selected files and directories from several
1603 different parent directories you will need to do that in multiple
1604 steps.)
1605
1606 If you select all the files in a directory, BackupPC will replace
1607 the list of files with the parent directory.  You will be presented
1608 with a screen that has three options:
1609
1610 =over 4
1611
1612 =item Option 1: Direct Restore
1613
1614 With this option the selected files and directories are restored
1615 directly back onto the host, by default in their original location.
1616 Any old files with the same name will be overwritten, so use caution.
1617 You can optionally change the target host name, target share name,
1618 and target path prefix for the restore, allowing you to restore the
1619 files to a different location.
1620
1621 Once you select "Start Restore" you will be prompted one last time
1622 with a summary of the exact source and target files and directories
1623 before you commit.  When you give the final go ahead the restore
1624 operation will be queued like a normal backup job, meaning that it
1625 will be deferred if there is a backup currently running for that host.
1626 When the restore job is run, smbclient or tar is used (depending upon
1627 $Conf{XferMethod}) to actually restore the files.  Sorry, there is
1628 currently no option to cancel a restore that has been started.
1629
1630 A record of the restore request, including the result and list of
1631 files and directories, is kept.  It can be browsed from the host's
1632 home page.  $Conf{RestoreInfoKeepCnt} specifies how many old restore
1633 status files to keep.
1634
1635 =item Option 2: Download Zip archive
1636
1637 With this option a zip file containing the selected files and directories
1638 is downloaded.  The zip file can then be unpacked or individual files
1639 extracted as necessary on the host machine. The compression level can be
1640 specified.  A value of 0 turns off compression.
1641
1642 When you select "Download Zip File" you should be prompted where to
1643 save the restore.zip file.
1644
1645 BackupPC does not consider downloading a zip file as an actual
1646 restore operation, so the details are not saved for later browsing
1647 as in the first case.  However, a mention that a zip file was
1648 downloaded by a particular user, and a list of the files, does
1649 appear in BackupPC's log file.
1650
1651 =item Option 3: Download Tar archive
1652
1653 This is identical to the previous option, except a tar file is downloaded
1654 rather than a zip file (and there is currently no compression option).
1655
1656 =back
1657
1658 =head2 Command-line restore options
1659
1660 Apart from the CGI interface, BackupPC allows you to restore files
1661 and directories from the command line.  The following programs can
1662 be used:
1663
1664 =over 4
1665
1666 =item BackupPC_zcat
1667
1668 For each file name argument it inflates (uncompresses) the file and
1669 writes it to stdout.  To use BackupPC_zcat you could give it the
1670 full file name, eg:
1671
1672     __INSTALLDIR__/bin/BackupPC_zcat __TOPDIR__/pc/host/5/fc/fcraig/fexample.txt > example.txt
1673
1674 It's your responsibility to make sure the file is really compressed:
1675 BackupPC_zcat doesn't check which backup the requested file is from.
1676
1677 =item BackupPC_tarCreate
1678
1679 BackupPC_tarCreate creates a tar file for any files or directories in
1680 a particular backup.  Merging of incrementals is done automatically,
1681 so you don't need to worry about whether certain files appear in the
1682 incremental or full backup.
1683
1684 The usage is:
1685
1686    BackupPC_tarCreate [-t] [-h host] [-n dumpNum] [-s shareName]
1687                     [-r pathRemove] [-p pathAdd]
1688                     files/directories...
1689
1690 The command-line files and directories are relative to the specified
1691 shareName.  The tar file is written to stdout.
1692
1693 The required options are:
1694
1695 =over 4
1696
1697 =item -h host
1698
1699 host from which the tar archive is created
1700
1701 =item -n dumpNum
1702
1703 dump number from which the tar archive is created
1704
1705 =item -s shareName
1706
1707 share name from which the tar archive is created
1708
1709 =back
1710
1711 Other options are:
1712
1713 =over 4
1714
1715 =item -t
1716
1717 print summary totals
1718
1719 =item -r pathRemove
1720
1721 path prefix that will be replaced with pathAdd
1722
1723 =item -p pathAdd
1724
1725 new path prefix
1726
1727 =back
1728
1729 The -h, -n and -s options specify which dump is used to generate
1730 the tar archive.  The -r and -p options can be used to relocate
1731 the paths in the tar archive so extracted files can be placed
1732 in a location different from their original location.
1733
1734 =item BackupPC_zipCreate
1735
1736 BackupPC_zipCreate creates a zip file for any files or directories in
1737 a particular backup.  Merging of incrementals is done automatically,
1738 so you don't need to worry about whether certain files appear in the
1739 incremental or full backup.
1740
1741 The usage is:
1742
1743    BackupPC_zipCreate [-t] [-h host] [-n dumpNum] [-s shareName]
1744                     [-r pathRemove] [-p pathAdd] [-c compressionLevel]
1745                    files/directories...
1746
1747 The command-line files and directories are relative to the specified
1748 shareName.  The zip file is written to stdout.
1749
1750 The required options are:
1751
1752 =over 4
1753
1754 =item -h host
1755
1756 host from which the zip archive is created
1757
1758 =item -n dumpNum
1759
1760 dump number from which the zip archive is created
1761
1762 =item -s shareName
1763
1764 share name from which the zip archive is created
1765
1766 =back
1767
1768 Other options are:
1769
1770 =over 4
1771
1772 =item -t
1773
1774 print summary totals
1775
1776 =item -r pathRemove
1777
1778 path prefix that will be replaced with pathAdd
1779
1780 =item -p pathAdd
1781
1782 new path prefix
1783
1784 =item -c level
1785
1786 compression level (default is 0, no compression)
1787
1788 =back
1789
1790 The -h, -n and -s options specify which dump is used to generate
1791 the zip archive.  The -r and -p options can be used to relocate
1792 the paths in the zip archive so extracted files can be placed
1793 in a location different from their original location.
1794
1795 =back
1796
1797 Each of these programs reside in __INSTALLDIR__/bin.
1798
1799 =head1 BackupPC Design
1800
1801 =head2 Some design issues
1802
1803 =over 4
1804
1805 =item Pooling common files
1806
1807 To quickly see if a file is already in the pool, an MD5 digest of the
1808 file length and contents is used as the file name in the pool. This
1809 can't guarantee a file is identical: it just reduces the search to
1810 often a single file or handful of files. A complete file comparison
1811 is always done to verify if two files are really the same.
1812
1813 Identical files on multiples backups are represented by hard links.
1814 Hardlinks are used so that identical files all refer to the same
1815 physical file on the server's disk. Also, hard links maintain
1816 reference counts so that BackupPC knows when to deleted unused files
1817 from the pool.
1818
1819 For the computer-science majors among you, you can think of the pooling
1820 system used by BackupPC as just a chained hash table stored on a (big)
1821 file system.
1822
1823 =item The hashing function
1824
1825 There is a tradeoff between how much of file is used for the MD5 digest
1826 and the time taken comparing all the files that have the same hash.
1827
1828 Using the file length and just the first 4096 bytes of the file for the
1829 MD5 digest produces some repetitions.  One example: with 900,000 unique
1830 files in the pool, this hash gives about 7,000 repeated files, and in
1831 the worst case 500 files have the same hash.  That's not bad: we only
1832 have to do a single file compare 99.2% of the time.  But in the worst
1833 case we have to compare as many as 500 files checking for a match.
1834
1835 With a modest increase in CPU time, if we use the file length and the
1836 first 256K of the file we now only have 500 repeated files and in the
1837 worst case around 20 files have the same hash. Furthermore, if we
1838 instead use the first and last 128K of the file (more specifically, the
1839 first and eighth 128K chunks for files larger than 1MB) we get only 300
1840 repeated files and in the worst case around 20 files have the same hash.
1841
1842 Based on this experimentation, this is the hash function used by BackupPC.
1843 It is important that you don't change the hash function after files
1844 are already in the pool.  Otherwise your pool will grow to twice the
1845 size until all the old backups (and all the old files with old hashes)
1846 eventually expire.
1847
1848 =item Compression
1849
1850 BackupPC supports compression. It uses the deflate and inflate methods
1851 in the Compress::Zlib module, which is based on the zlib compression
1852 library (see L<http://www.gzip.org/zlib/>).
1853
1854 The $Conf{CompressLevel} setting specifies the compression level to use.
1855 Zero (0) means no compression. Compression levels can be from 1 (least
1856 cpu time, slightly worse compression) to 9 (most cpu time, slightly
1857 better compression). The recommended value is 3. Changing it to 5, for
1858 example, will take maybe 20% more cpu time and will get another 2-3%
1859 additional compression. Diminishing returns set in above 5.  See the zlib
1860 documentation for more information about compression levels.
1861
1862 BackupPC implements compression with minimal CPU load. Rather than
1863 compressing every incoming backup file and then trying to match it
1864 against the pool, BackupPC computes the MD5 digest based on the
1865 uncompressed file, and matches against the candidate pool files by
1866 comparing each uncompressed pool file against the incoming backup file.
1867 Since inflating a file takes roughly a factor of 10 less CPU time than
1868 deflating there is a big saving in CPU time.
1869
1870 The combination of pooling common files and compression can yield
1871 a factor of 8 or more overall saving in backup storage.
1872
1873 =back
1874
1875 =head2 BackupPC operation
1876
1877 BackupPC reads the configuration information from
1878 __TOPDIR__/conf/config.pl. It then runs and manages all the backup
1879 activity. It maintains queues of pending backup requests, user backup
1880 requests and administrative commands. Based on the configuration various
1881 requests will be executed simultaneously.
1882
1883 As specified by $Conf{WakeupSchedule}, BackupPC wakes up periodically
1884 to queue backups on all the PCs.  This is a four step process:
1885
1886 =over 4
1887
1888 =item 1
1889
1890 For each host and DHCP address backup requests are queued on the
1891 background command queue.
1892
1893 =item 2
1894
1895 For each PC, BackupPC_dump is forked. Several of these may be run in
1896 parallel, based on the configuration. First a ping is done to see if the
1897 machine is alive. If this is a DHCP address, nmblookup is run to get
1898 the netbios name, which is used as the host name. The file
1899 __TOPDIR__/pc/$host/backups is read to decide whether a full or
1900 incremental backup needs to be run. If no backup is scheduled, or the ping
1901 to $host fails, then BackupPC_dump exits.
1902
1903 The backup is done using samba's smbclient or tar over ssh/rsh/nfs piped
1904 into BackupPC_tarExtract, extracting the backup into __TOPDIR__/pc/$host/new.
1905 The smbclient or tar output is put into __TOPDIR__/pc/$host/XferLOG.
1906
1907 As BackupPC_tarExtract extracts the files from smbclient, it checks each
1908 file in the backup to see if it is identical to an existing file from
1909 any previous backup of any PC. It does this without needed to write the
1910 file to disk. If the file matches an existing file, a hardlink is
1911 created to the existing file in the pool. If the file does not match any
1912 existing files, the file is written to disk and the file name is saved
1913 in __TOPDIR__/pc/$host/NewFileList for later processing by
1914 BackupPC_link.  BackupPC_tarExtract can handle arbitrarily large
1915 files and multiple candidate matching files without needing to
1916 write the file to disk in the case of a match.  This significantly
1917 reduces disk writes (and also reads, since the pool file comparison
1918 is done disk to memory, rather than disk to disk).
1919
1920 Based on the configuration settings, BackupPC_dump checks each
1921 old backup to see if any should be removed.  Any expired backups
1922 are moved to __TOPDIR__/trash for later removal by BackupPC_trashClean.
1923
1924 =item 3
1925
1926 For each complete, good, backup, BackupPC_link is run.
1927 To avoid race conditions as new files are linked into the
1928 pool area, only a single BackupPC_link program runs
1929 at a time and the rest are queued.
1930
1931 BackupPC_link reads the NewFileList written by BackupPC_dump and
1932 inspects each new file in the backup. It re-checks if there is a
1933 matching file in the pool (another BackupPC_link
1934 could have added the file since BackupPC_dump checked). If so, the file
1935 is removed and replaced by a hard link to the existing file. If the file
1936 is new, a hard link to the file is made in the pool area, so that this
1937 file is available for checking against each new file and new backup.
1938
1939 Then, assuming $Conf{IncrFill} is set, for each incremental backup,
1940 hard links are made in the new backup to all files that were not extracted
1941 during the incremental backups.  The means the incremental backup looks
1942 like a complete image of the PC (with the exception that files
1943 that were removed on the PC since the last full backup will still
1944 appear in the backup directory tree).
1945
1946 As of v1.03, the CGI interface knows how to merge unfilled
1947 incremental backups will the most recent prior filled (full)
1948 backup, giving the incremental backups a filled appearance.  The
1949 default for $Conf{IncrFill} is off, since there is now no need to
1950 fill incremental backups.  This saves some level of disk activity,
1951 since lots of extra hardlinks are no longer needed (and don't have
1952 to be deleted when the backup expires).
1953
1954 =item 4
1955
1956 BackupPC_trashClean is always run in the background to remove any
1957 expired backups. Every 5 minutes it wakes up and removes all the files
1958 in __TOPDIR__/trash.
1959
1960 Also, once each night, BackupPC_nightly is run to complete some additional
1961 administrative tasks, such as cleaning the pool.  This involves removing
1962 any files in the pool that only have a single hard link (meaning no backups
1963 are using that file).  Again, to avoid race conditions, BackupPC_nightly
1964 is only run when there are no BackupPC_dump or BackupPC_link processes
1965 running.
1966
1967 =back
1968
1969 BackupPC also listens for TCP connections on $Conf{ServerPort}, which
1970 is used by the CGI script BackupPC_Admin for status reporting and
1971 user-initiated backup or backup cancel requests.
1972
1973 =head2 Storage layout
1974
1975 BackupPC resides in three directories:
1976
1977 =over 4
1978
1979 =item __INSTALLDIR__
1980
1981 Perl scripts comprising BackupPC reside in __INSTALLDIR__/bin,
1982 libraries are in __INSTALLDIR__/lib and documentation
1983 is in __INSTALLDIR__/doc.
1984
1985 =item __CGIDIR__
1986
1987 The CGI script BackupPC_Admin resides in this cgi binary directory.
1988
1989 =item __TOPDIR__
1990
1991 All of BackupPC's data (PC backup images, logs, configuration information)
1992 is stored below this directory.
1993
1994 =back
1995
1996 Below __TOPDIR__ are several directories:
1997
1998 =over 4
1999
2000 =item __TOPDIR__/conf
2001
2002 The directory __TOPDIR__/conf contains:
2003
2004 =over 4
2005
2006 =item config.pl
2007
2008 Configuration file. See L<Configuration file|configuration file>
2009 below for more details.
2010
2011 =item hosts
2012
2013 Hosts file, which lists all the PCs to backup.
2014
2015 =back
2016
2017 =item __TOPDIR__/log
2018
2019 The directory __TOPDIR__/log contains:
2020
2021 =over 4
2022
2023 =item LOG
2024
2025 Current (today's) log file output from BackupPC.
2026
2027 =item LOG.0 or LOG.0.z
2028
2029 Yesterday's log file output.  Log files are aged daily and compressed
2030 (if compression is enabled), and old LOG files are deleted.
2031
2032 =item BackupPC.pid
2033
2034 Contains BackupPC's process id.
2035
2036 =item status.pl
2037
2038 A summary of BackupPC's status written periodically by BackupPC so
2039 that certain state information can be maintained if BackupPC is
2040 restarted.  Should not be edited.
2041
2042 =item UserEmailInfo.pl
2043
2044 A summary of what email was last sent to each user, and when the
2045 last email was sent.  Should not be edited.
2046
2047 =back
2048
2049 =item __TOPDIR__/trash
2050
2051 Any directories and files below this directory are periodically deleted
2052 whenever BackupPC_trashClean checks. When a backup is aborted or when an
2053 old backup expires, BackupPC_dump simply moves the directory to
2054 __TOPDIR__/trash for later removal by BackupPC_trashClean.
2055
2056 =item __TOPDIR__/pool
2057
2058 All uncompressed files from PC backups are stored below __TOPDIR__/pool.
2059 Each file's name is based on the MD5 hex digest of the file contents.
2060 Specifically, for files less than 256K, the file length and the entire
2061 file is used. For files up to 1MB, the file length and the first and
2062 last 128K are used. Finally, for files longer than 1MB, the file length,
2063 and the first and eighth 128K chunks for the file are used.
2064
2065 Each file is stored in a subdirectory X/Y/Z, where X, Y, Z are the
2066 first 3 hex digits of the MD5 digest.
2067
2068 For example, if a file has an MD5 digest of 123456789abcdef0,
2069 the file is stored in __TOPDIR__/pool/1/2/3/123456789abcdef0.
2070
2071 The MD5 digest might not be unique (especially since not all the file's
2072 contents are used for files bigger than 256K). Different files that have
2073 the same MD5 digest are stored with a trailing suffix "_n" where n is
2074 an incrementing number starting at 0. So, for example, if two additional
2075 files were identical to the first, except the last byte was different,
2076 and assuming the file was larger than 1MB (so the MD5 digests are the
2077 same but the files are actually different), the three files would be
2078 stored as:
2079
2080         __TOPDIR__/pool/1/2/3/123456789abcdef0
2081         __TOPDIR__/pool/1/2/3/123456789abcdef0_0
2082         __TOPDIR__/pool/1/2/3/123456789abcdef0_1
2083
2084 Both BackupPC_dump (actually, BackupPC_tarExtract) and BackupPC_link are
2085 responsible for checking newly backed up files against the pool. For
2086 each file, the MD5 digest is used to generate a file name in the pool
2087 directory. If the file exists in the pool, the contents are compared.
2088 If there is no match, additional files ending in "_n" are checked.
2089 (Actually, BackupPC_tarExtract compares multiple candidate files in
2090 parallel.)  If the file contents exactly match, the file is created by
2091 simply making a hard link to the pool file (this is done by
2092 BackupPC_tarExtract as the backup proceeds). Otherwise,
2093 BackupPC_tarExtract writes the new file to disk and a new hard link is
2094 made in the pool to the file (this is done later by BackupPC_link).
2095
2096 Therefore, every file in the pool will have at least 2 hard links
2097 (one for the pool file and one for the backup file below __TOPDIR__/pc).
2098 Identical files from different backups or PCs will all be linked to
2099 the same file.  When old backups are deleted, some files in the pool
2100 might only have one link.  BackupPC_nightly checks the entire pool
2101 and removes all files that have only a single link, thereby recovering
2102 the storage for that file.
2103
2104 One other issue: zero length files are not pooled, since there are a lot
2105 of these files and on most file systems it doesn't save any disk space
2106 to turn these files into hard links.
2107
2108 =item __TOPDIR__/cpool
2109
2110 All compressed files from PC backups are stored below __TOPDIR__/cpool.
2111 Its layout is the same as __TOPDIR__/pool, and the hashing function
2112 is the same (and, importantly, based on the uncompressed file, not
2113 the compressed file).
2114
2115 =item __TOPDIR__/pc/$host
2116
2117 For each PC $host, all the backups for that PC are stored below
2118 the directory __TOPDIR__/pc/$host.  This directory contains the
2119 following files:
2120
2121 =over 4
2122
2123 =item LOG
2124
2125 Current log file for this PC from BackupPC_dump.
2126
2127 =item LOG.0 or LOG.0.z
2128
2129 Last month's log file.  Log files are aged monthly and compressed
2130 (if compression is enabled), and old LOG files are deleted.
2131
2132 =item XferERR or XferERR.z
2133
2134 Output from the transport program (ie: smbclient or tar)
2135 for the most recent failed backup.
2136
2137 =item new
2138
2139 Subdirectory in which the current backup is stored.  This
2140 directory is renamed if the backup succeeds.
2141
2142 =item XferLOG or XferLOG.z
2143
2144 Output from the transport program (ie: smbclient or tar)
2145 for the current backup.
2146
2147 =item nnn (an integer)
2148
2149 Successful backups are in directories numbered sequentially starting at 0.
2150
2151 =item XferLOG.nnn or XferLOG.nnn.z
2152
2153 Output from the transport program (ie: smbclient or tar)
2154 corresponding to backup number nnn.
2155
2156 =item RestoreInfo.nnn
2157
2158 Information about restore request #nnn including who, what, when, and
2159 why. This file is in Data::Dumper format.  (Note that the restore
2160 numbers are not related to the backup number.)
2161
2162 =item RestoreLOG.nnn.z
2163
2164 Output from smbclient or tar during restore #nnn.  (Note that the restore
2165 numbers are not related to the backup number.)
2166
2167 =item config.pl
2168
2169 Optional configuration settings specific to this host.  Settings in this
2170 file override the main configuration file.
2171
2172 =item backups
2173
2174 A tab-delimited ascii table listing information about each successful
2175 backup, one per row.  The columns are:
2176
2177 =over 4
2178
2179 =item num
2180
2181 The backup number, an integer that starts at 0 and increments
2182 for each successive backup.  The corresponding backup is stored
2183 in the directory num (eg: if this field is 5, then the backup is
2184 stored in __TOPDIR__/pc/$host/5).
2185
2186 =item type
2187
2188 Set to "full" or "incr" for full or incremental backup.
2189
2190 =item startTime
2191
2192 Start time of the backup in unix seconds.
2193
2194 =item endTime
2195
2196 Stop time of the backup in unix seconds.
2197
2198 =item nFiles
2199
2200 Number of files backed up (as reported by smbclient or tar).
2201
2202 =item size
2203
2204 Total file size backed up (as reported by smbclient or tar).
2205
2206 =item nFilesExist
2207
2208 Number of files that were already in the pool
2209 (as determined by BackupPC_dump and BackupPC_link).
2210
2211 =item sizeExist
2212
2213 Total size of files that were already in the pool
2214 (as determined by BackupPC_dump and BackupPC_link).
2215
2216 =item nFilesNew
2217
2218 Number of files that were not in the pool
2219 (as determined by BackupPC_link).
2220
2221 =item sizeNew
2222
2223 Total size of files that were not in the pool
2224 (as determined by BackupPC_link).
2225
2226 =item xferErrs
2227
2228 Number of errors or warnings from smbclient (zero for tar).
2229
2230 =item xferBadFile
2231
2232 Number of errors from smbclient that were bad file errors (zero for tar).
2233
2234 =item xferBadShare
2235
2236 Number of errors from smbclient that were bad share errors (zero for tar).
2237
2238 =item tarErrs
2239
2240 Number of errors from BackupPC_tarExtract.
2241
2242 =item compress
2243
2244 The compression level used on this backup.  Zero or empty means no
2245 compression.
2246
2247 =item sizeExistComp
2248
2249 Total compressed size of files that were already in the pool
2250 (as determined by BackupPC_dump and BackupPC_link).
2251
2252 =item sizeNewComp
2253
2254 Total compressed size of files that were not in the pool
2255 (as determined by BackupPC_link).
2256
2257 =item noFill
2258
2259 Set if this backup has not been filled in with the most recent
2260 previous filled or full backup.  See $Conf{IncrFill}.
2261
2262 =item fillFromNum
2263
2264 If this backup was filled (ie: noFill is 0) then this is the
2265 number of the backup that it was filled from
2266
2267 =item mangle
2268
2269 Set if this backup has mangled file names and attributes.  Always
2270 true for backups in v1.4.0 and above.  False for all backups prior
2271 to v1.4.0.
2272
2273 =item xferMethod
2274
2275 Set to the value of $Conf{XferMethod} when this dump was done.
2276
2277 =item level
2278
2279 The level of this dump.  A full dump is level 0.  Currently incrementals
2280 are 1.  But when multi-level incrementals are supported this will reflect
2281 each dump's incremental level.
2282
2283 =back
2284
2285 =item restores
2286
2287 A tab-delimited ascii table listing information about each requested
2288 restore, one per row.  The columns are:
2289
2290 =over 4
2291
2292 =item num
2293
2294 Restore number (matches the suffix of the RestoreInfo.nnn and
2295 RestoreLOG.nnn.z file), unrelated to the backup number.
2296
2297 =item startTime
2298
2299 Start time of the restore in unix seconds.
2300
2301 =item endTime
2302
2303 End time of the restore in unix seconds.
2304
2305 =item result
2306
2307 Result (ok or failed).
2308
2309 =item errorMsg
2310
2311 Error message if restore failed.
2312
2313 =item nFiles
2314
2315 Number of files restored.
2316
2317 =item size
2318
2319 Size in bytes of the restored files.
2320
2321 =item tarCreateErrs
2322
2323 Number of errors from BackupPC_tarCreate during restore.
2324
2325 =item xferErrs
2326
2327 Number of errors from smbclient or tar during restore.
2328
2329 =back
2330
2331 =back
2332
2333 =back
2334
2335 =head2 Compressed file format
2336
2337 The compressed file format is as generated by Compress::Zlib::deflate
2338 with one minor, but important, tweak. Since Compress::Zlib::inflate
2339 fully inflates its argument in memory, it could take large amounts of
2340 memory if it was inflating a highly compressed file. For example, a
2341 200MB file of 0x0 bytes compresses to around 200K bytes. If
2342 Compress::Zlib::inflate was called with this single 200K buffer, it
2343 would need to allocate 200MB of memory to return the result.
2344
2345 BackupPC watches how efficiently a file is compressing. If a big file
2346 has very high compression (meaning it will use too much memory when it
2347 is inflated), BackupPC calls the flush() method, which gracefully
2348 completes the current compression.  BackupPC then starts another
2349 deflate and simply appends the output file.  So the BackupPC compressed
2350 file format is one or more concatenated deflations/flushes.  The specific
2351 ratios that BackupPC uses is that if a 6MB chunk compresses to less
2352 than 64K then a flush will be done.
2353
2354 Back to the example of the 200MB file of 0x0 bytes.  Adding flushes
2355 every 6MB adds only 200 or so bytes to the 200K output.  So the
2356 storage cost of flushing is negligible.
2357
2358 To easily decompress a BackupPC compressed file, the script
2359 BackupPC_zcat can be found in __INSTALLDIR__/bin.  For each
2360 file name argument it inflates the file and writes it to stdout.
2361
2362 =head2 File name mangling
2363
2364 Backup file names are stored in "mangled" form. Each node of
2365 a path is preceded by "f" (mnemonic: file), and special characters
2366 (\n, \r, % and /) are URI-encoded as "%xx", where xx is the ascii
2367 character's hex value.  So c:/craig/example.txt is now stored as
2368 fc/fcraig/fexample.txt.
2369
2370 This was done mainly so meta-data could be stored alongside the backup
2371 files without name collisions. In particular, the attributes for the
2372 files in a directory are stored in a file called "attrib", and mangling
2373 avoids file name collisions (I discarded the idea of having a duplicate
2374 directory tree for every backup just to store the attributes). Other
2375 meta-data (eg: rsync checksums) could be stored in file names preceded
2376 by, eg, "c". There are two other benefits to mangling: the share name
2377 might contain "/" (eg: "/home/craig" for tar transport), and I wanted
2378 that represented as a single level in the storage tree. Secondly, as
2379 files are written to NewFileList for later processing by BackupPC_link,
2380 embedded newlines in the file's path will cause problems which are
2381 avoided by mangling.
2382
2383 The CGI script undoes the mangling, so it is invisible to the user.
2384 Old (unmangled) backups are still supported by the CGI
2385 interface.
2386
2387 =head2 Special files
2388
2389 Linux/unix file systems support several special file types: symbolic
2390 links, character and block device files, fifos (pipes) and unix-domain
2391 sockets. All except unix-domain sockets are supported by BackupPC
2392 (there's no point in backing up or restoring unix-domain sockets since
2393 they only have meaning after a process creates them). Symbolic links are
2394 stored as a plain file whose contents are the contents of the link (not
2395 the file it points to). This file is compressed and pooled like any
2396 normal file. Character and block device files are also stored as plain
2397 files, whose contents are two integers separated by a comma; the numbers
2398 are the major and minor device number. These files are compressed and
2399 pooled like any normal file. Fifo files are stored as empty plain files
2400 (which are not pooled since they have zero size). In all cases, the
2401 original file type is stored in the attrib file so it can be correctly
2402 restored.
2403
2404 Hardlinks are also supported.  When GNU tar first encounters a file with
2405 more than one link (ie: hardlinks) it dumps it as a regular file.  When
2406 it sees the second and subsequent hardlinks to the same file, it dumps
2407 just the hardlink information.  BackupPC correctly recognizes these
2408 hardlinks and stores them just like symlinks: a regular text file
2409 whose contents is the path of the file linked to.  The CGI script
2410 will download the original file when you click on a hardlink.
2411
2412 Also, BackupPC_tarCreate has enough magic to re-create the hardlinks
2413 dynamically based on whether or not the original file and hardlinks
2414 are both included in the tar file.  For example, imagine a/b/x is a
2415 hardlink to a/c/y.  If you use BackupPC_tarCreate to restore directory
2416 a, then the tar file will include a/b/x as the original file and a/c/y
2417 will be a hardlink to a/b/x.  If, instead you restore a/c, then the
2418 tar file will include a/c/y as the original file, not a hardlink.
2419
2420 =head2 Attribute file format
2421
2422 The unix attributes for the contents of a directory (all the files and
2423 directories in that directory) are stored in a file called attrib.
2424 There is a single attrib file for each directory in a backup.
2425 For example, if c:/craig contains a single file c:/craig/example.txt,
2426 that file would be stored as fc/fcraig/fexample.txt and there would be an
2427 attribute file in fc/fcraig/attrib (and also fc/attrib and ./attrib).
2428 The file fc/fcraig/attrib would contain a single entry containing the
2429 attributes for fc/fcraig/fexample.txt.
2430
2431 The attrib file starts with a magic number, followed by the
2432 concatenation of the following information for each file:
2433
2434 =over 4
2435
2436 =item *
2437
2438 File name length in perl's pack "w" format (variable length base 128).
2439
2440 =item *
2441
2442 File name.
2443
2444 =item *
2445
2446 The unix file type, mode, uid, gid and file size divided by 4GB and
2447 file size modulo 4GB (type mode uid gid sizeDiv4GB sizeMod4GB),
2448 in perl's pack "w" format (variable length base 128).
2449
2450 =item *
2451
2452 The unix mtime (unix seconds) in perl's pack "N" format (32 bit integer).
2453
2454 =back
2455
2456 The attrib file is also compressed if compression is enabled.
2457 See the lib/BackupPC/Attrib.pm module for full details.
2458
2459 Attribute files are pooled just like normal backup files.  This saves
2460 space if all the files in a directory have the same attributes across
2461 multiple backups, which is common.
2462
2463 =head2 Optimizations
2464
2465 BackupPC doesn't care about the access time of files in the pool
2466 since it saves attribute meta-data separate from the files.  Since
2467 BackupPC mostly does reads from disk, maintaining the access time of
2468 files generates a lot of unnecessary disk writes.  So, provided 
2469 BackupPC has a dedicated data disk, you should consider mounting
2470 BackupPC's data directory with the noatime attribute (see mount(1)).
2471
2472 =head2 Limitations
2473
2474 BackupPC isn't perfect (but it is getting better).  Here are some
2475 limitations of BackupPC:
2476
2477 =over 4
2478
2479 =item Non-unix file attributes not backed up
2480
2481 smbclient doesn't extract the WinXX ACLs, so file attributes other than
2482 the equivalent (as provided by smbclient) unix attributes are not
2483 backed up.
2484
2485 =item Locked files are not backed up
2486
2487 Under WinXX a locked file cannot be read by smbclient.  Such files will
2488 not be backed up.  This includes the WinXX system registry files.
2489
2490 This is especially troublesome for Outlook, which stores all its data
2491 in a single large file and keeps it locked whenever it is running.
2492 Since many users keep Outlook running all the time their machine
2493 is up their Outlook file will not be backed up.  Sadly, this file
2494 is the most important file to backup.  As one workaround, Microsoft has
2495 a user-level application that periodically asks the user if they want to
2496 make a copy of their outlook.pst file.  This copy can then be backed up
2497 by BackupPC.  See L<http://office.microsoft.com/downloads/2002/pfbackup.aspx>.
2498
2499 Similarly, all of the data for WinXX services like SQL databases,
2500 Exchange etc won't be backed up.  If these applications support
2501 some kind of export or utility to save their data to disk then this
2502 can =used to create files that BackupPC can backup.
2503
2504 So far, the best that BackupPC can do is send warning emails to
2505 the user saying that their outlook files haven't been backed up in
2506 X days.  (X is configurable.)  The message invites the user to
2507 exit Outlook and gives a URL to manually start a backup.
2508
2509 I suspect there is a way of mirroring the outlook.pst file so
2510 that at least the mirror copy can be backed up.  Or perhaps a
2511 manual copy can be started at login.   Does some WinXX expert
2512 know how to do this?
2513
2514 Comment: two users have noted that there are commercial OFM (open file
2515 manager) products that are designed to solve this problem, for example
2516 from St. Bernard or Columbia Data Products. Apparently Veritas and
2517 Legato bundle this product with their commercial products.  See for
2518 example L<http://www.stbernard.com/products/docs/ofm_whitepaperV8.pdf>.
2519 If anyone tries these programs with BackupPC please tell us whether or
2520 not they work.
2521
2522 =item Don't expect to reconstruct a complete WinXX drive
2523
2524 The conclusion from the last few items is that BackupPC is not intended
2525 to allow a complete WinXX disk to be re-imaged from the backup. Our
2526 approach to system restore in the event of catastrophic failure is to
2527 re-image a new disk from a generic master, and then use the BackupPC
2528 archive to restore user files.
2529
2530 It is likely that linux/unix backups done using tar (rather than
2531 smb) can be used to reconstruct a complete file system, although
2532 I haven't tried it.
2533
2534 =item Maximum Backup File Sizes
2535
2536 BackupPC can backup and manage very large file sizes, probably as large
2537 as 2^51 bytes (when a double-precision number's mantissa can no longer
2538 represent an integer exactly).  In practice, several things outside
2539 BackupPC limit the maximum individual file size.  Any one of the
2540 following items will limit the maximum individual file size:
2541
2542 =over 4
2543
2544 =item Perl
2545
2546 Perl needs to be compiled with uselargefiles defined. Check your
2547 installation with:
2548
2549     perl -V | egrep largefiles
2550
2551 Without this, the maximum file size will be 2GB.
2552
2553 =item File system
2554
2555 The BackupPC pool and data directories must be on a file system that
2556 supports large files.
2557
2558 Without this, the maximum file size will be 2GB.
2559
2560 =item Transport
2561
2562 The transport mechanism also limits the maximum individual file size.
2563
2564 GNU tar maximum file size is limited by the tar header format. The tar
2565 header uses 11 octal digits to represent the file size, which is 33 bits
2566 or 8GB.  I vaguely recall (but I haven't recently checked) that GNU tar
2567 uses an extra octal digit (replacing a trailing delimiter) if necessary,
2568 allowing 64GB files.  So tar transport limits the maximum file size to
2569 8GB or perhaps 64GB.  It is possible that files >= 8GB don't work; this
2570 needs to be looked into.
2571
2572 Smbclient is limited to 4GB file sizes.  Moreover, a bug in smbclient
2573 (mixing signed and unsigned 32 bit values) causes it to incorrectly
2574 do the tar octal conversion for file sizes from 2GB-4GB.  BackupPC_tarExtract
2575 knows about this bug and can recover the correct file size.  So smbclient
2576 transport works up to 4GB file sizes.
2577
2578 =back
2579
2580 =item Some tape backup systems aren't smart about hard links
2581
2582 If you backup the BackupPC pool to tape you need to make sure that the
2583 tape backup system is smart about hard links. For example, if you
2584 simply try to tar the BackupPC pool to tape you will backup a lot more
2585 data than is necessary.
2586
2587 Using the example at the start of the installation section, 65 hosts are
2588 backed up with each full backup averaging 3.2GB. Storing one full backup
2589 and two incremental backups per laptop is around 240GB of raw data. But
2590 because of the pooling of identical files, only 87GB is used (with
2591 compression the total is lower). If you run du or tar on the data
2592 directory, there will appear to be 240GB of data, plus the size of the
2593 pool (around 87GB), or 327GB total.
2594
2595 If your tape backup system is not smart about hard links an alternative
2596 is to periodically backup just the last successful backup for each host
2597 to tape.  Another alternative is to do a low-level dump of the pool
2598 file system (ie: /dev/hda1 or similar) using dump(1).
2599
2600 Supporting more efficient tape backup is an area for further
2601 development.
2602
2603 =item Incremental backups might included deleted files
2604
2605 To make browsing and restoring backups easier, incremental backups
2606 are "filled-in" from the last complete backup when the backup is
2607 browsed or restored.
2608
2609 However, if a file was deleted by a user after the last full backup, that
2610 file will still appear in the "filled-in" incremental backup. This is not
2611 really a specific problem with BackupPC, rather it is a general issue
2612 with the full/incremental backup paradigm.  This minor problem could be
2613 solved by having smbclient list all files when it does the incremental
2614 backup.  Volunteers anyone?
2615
2616 =back
2617
2618 Comments or suggestions on these issues are welcome.
2619
2620 =head2 Security issues
2621
2622 Please read this section and consider each of the issues carefully.
2623
2624 =over 4
2625
2626 =item Smb share password
2627
2628 An important security risk is the manner in which the smb share
2629 passwords are stored. They are in plain text. As described in
2630 L<Step 3: Setting up config.pl|step 3: setting up config.pl> there are four
2631 ways to tell BackupPC the smb share password (manually setting an environment
2632 variable, setting the environment variable in /etc/init.d/backuppc,
2633 putting the password in __TOPDIR__/conf/config.pl, or putting the
2634 password in __TOPDIR__/pc/$host/config.pl). In the latter 3 cases the
2635 smb share password appears in plain text in a file.
2636
2637 If you use any of the latter three methods please make sure that the file's
2638 permission is appropriately restricted.  If you also use RCS or CVS, double
2639 check the file permissions of the config.pl,v file.
2640
2641 In future versions there will probably be support for encryption of the
2642 smb share password, but a private key will still have to be stored in a
2643 protected place.  Comments and suggestions are welcome.
2644
2645 =item BackupPC socket server
2646
2647 In v1.5.0 the primary method for communication between the CGI program
2648 (BackupPC_Admin) and the server (BackupPC) is via a unix-domain socket.
2649 Since this socket has restricted permissions, no local user should be
2650 able to connect to this port.  No backup or restore data passes through
2651 this interface, but an attacker can start or stop backups and get status
2652 through this port.
2653
2654 If the Apache server and BackupPC_Admin run on a different host to
2655 BackupPC then a TCP port must be enabled by setting $Conf{ServerPort}.
2656 Anyone can connect to this port.  To avoid possible attacks via the TCP
2657 socket interface, every client message is protected by an MD5 digest.
2658 The MD5 digest includes four items:
2659
2660 =over 4
2661
2662 =item *
2663
2664 a seed that is sent to the client when the connection opens
2665
2666 =item *
2667
2668 a sequence number that increments for each message
2669
2670 =item *
2671
2672 a shared secret that is stored in $Conf{ServerMesgSecret}
2673
2674 =item *
2675
2676 the message itself.
2677
2678 =back
2679
2680 The message is sent in plain text preceded by the MD5 digest.  A
2681 snooper can see the plain-text seed sent by BackupPC and plain-text
2682 message from the client, but cannot construct a valid MD5 digest since
2683 the secret in $Conf{ServerMesgSecret} is unknown.  A replay attack is
2684 not possible since the seed changes on a per-connection and
2685 per-message basis.
2686
2687 So if you do enable the TCP port, please set $Conf{ServerMesgSecret}
2688 to some hard-to-guess string.  A denial-of-service attack is possible
2689 with the TCP port enabled.  Someone could simply connect many times
2690 to this port, until BackupPC had exhausted all its file descriptors,
2691 and this would cause new backups and the CGI interface to fail.  The
2692 most secure solution is to run BackupPC and Apache on the same machine
2693 and disable the TCP port.
2694
2695 By the way, if you have upgraded from a version of BackupPC prior to
2696 v1.5.0 you should set $Conf{ServerPort} to -1 to disable the TCP port.
2697
2698 =item Installation permissions
2699
2700 It is important to check that the BackupPC scripts in __INSTALLDIR__/bin
2701 and __INSTALLDIR__/lib cannot be edited by normal users. Check the
2702 directory permissions too.
2703
2704 =item Pool permissions
2705
2706 It is important to check that the data files in __TOPDIR__/pool,
2707 __TOPDIR__/pc and __TOPDIR__/trash cannot be read by normal users.
2708 Normal users should not be able to see anything below __TOPDIR__.
2709
2710 =item Host shares
2711
2712 Enabling shares on hosts carries security risks.  If you are on a private
2713 network and you generally trust your users then there should not be a
2714 problem. But if you have a laptop that is sometimes on public networks
2715 (eg: broadband or even dialup) you should be concerned.  A conservative
2716 approach is to use firewall software, and only enable the netbios and
2717 smb ports (137 and 139) on connections from the host running BackupPC.
2718
2719 =item SSH key security
2720
2721 Using ssh for linux/unix clients is quite secure, but the security is
2722 only as good as the protection of ssh's private keys. If an attacker can
2723 devise a way to run a shell as the BackupPC user then they will have
2724 access to BackupPC's private ssh keys. They can then, in turn, ssh to
2725 any client machine as root (or whichever user you have configured
2726 BackupPC to use). This represents a serious compromise of your entire
2727 network.  So in vulnerable networks, think carefully about how to protect
2728 the machine running BackupPC and how to prevent attackers from gaining
2729 shell access (as the BackupPC user) to the machine.
2730
2731 =item CGI interface
2732
2733 The CGI interface, __CGIDIR__/BackupPC_Admin, needs access to the pool
2734 files so it is installed setuid to __BACKUPPCUSER__. The permissions of
2735 this file need to checked carefully. It should be owned by
2736 __BACKUPPCUSER__ and have user and group (but not other) execute
2737 permission. To allow apache/httpd to execute it, the group ownership
2738 should be something that apache/httpd belongs to.
2739
2740 The Apache configuration should be setup for AuthConfig style,
2741 using a .htaccess file so that the user's name is passed into
2742 the script as $ENV{REMOTE_USER}.
2743
2744 If normal users could directly run BackupPC_Admin then there is a serious
2745 security hole: since it is setuid to __BACKUPPCUSER__ any user can
2746 browse and restore any backups. Be aware that anyone who is allowed to
2747 edit or create cgi scripts on your server can execute BackupPC_Admin as
2748 any user!  They simply write a cgi script that sets $ENV{REMOTE_USER} and
2749 then execs BackupPC_Admin.  The exec succeeds since httpd runs the first
2750 script as user httpd/apache, which in turn has group permission to
2751 execute BackupPC_Admin.
2752
2753 While this setup should be safe, a more conservative approach is to
2754 run a dedicated Apache as user __BACKUPPCUSER__ on a different port.
2755 Then BackupPC_Admin no longer needs to be setuid, and the cgi
2756 directories can be locked down from normal users.  Moreover, this
2757 setup is exactly the one used to support mod_perl, so this provides
2758 both the highest performance and the lowest security risk.
2759
2760 =back
2761
2762 Comments and suggestions are welcome.
2763
2764 =head1 Configuration File
2765
2766 The BackupPC configuration file resides in __TOPDIR__/conf/config.pl.
2767 Optional per-PC configuration files reside in __TOPDIR__/pc/$host/config.pl.
2768 This file can be used to override settings just for a particular PC.
2769
2770 =head2 Modifying the main configuration file
2771
2772 The configuration file is a perl script that is executed by BackupPC, so
2773 you should be careful to preserve the file syntax (punctuation, quotes
2774 etc) when you edit it. It is recommended that you use CVS, RCS or some
2775 other method of source control for changing config.pl.
2776
2777 BackupPC reads or re-reads the main configuration file and
2778 the hosts file in three cases:
2779
2780 =over 4
2781
2782 =item *
2783
2784 Upon startup.
2785
2786 =item *
2787
2788 When BackupPC is sent a HUP (-1) signal.  Assuming you installed the 
2789 init.d script, you can also do this with "/etc/init.d/backuppc reload".
2790
2791 =item *
2792
2793 When the modification time of config.pl file changes.  BackupPC
2794 checks the modification time once during each regular wakeup.
2795
2796 =back
2797
2798 Whenever you change the configuration file you can either do
2799 a kill -HUP BackupPC_pid or simply wait until the next regular
2800 wakeup period.
2801
2802 Each time the configuration file is re-read a message is reported in the
2803 LOG file, so you can tail it (or view it via the CGI interface) to make
2804 sure your kill -HUP worked. Errors in parsing the configuration file are
2805 also reported in the LOG file.
2806
2807 The optional per-PC configuration file (__TOPDIR__/pc/$host/config.pl)
2808 is read whenever it is needed by BackupPC_dump, BackupPC_link and others.
2809
2810 =head2 Configuration file includes
2811
2812 If you have a heterogeneous set of clients (eg: a variety of WinXX and
2813 linux/unix machines) you will need to create host-specific config.pl files
2814 for some or all of these machines to customize the default settings from
2815 the master config.pl file (at a minimum to set $Conf{XferMethod}).
2816
2817 Since the config.pl file is just regular perl code, you can include
2818 one config file from another.  For example, imagine you had three general
2819 classes of machines: WinXX desktops, linux machines in the DMZ and
2820 linux desktops.  You could create three config files in __TOPDIR__/conf:
2821
2822     __TOPDIR__/conf/ConfigWinDesktop.pl
2823     __TOPDIR__/conf/ConfigLinuxDMZ.pl
2824     __TOPDIR__/conf/ConfigLinuxDesktop.pl
2825
2826 From each client's directory you can either add a symbolic link to
2827 the appropriate config file:
2828
2829     cd __TOPDIR__/pc/$host
2830     ln -s ../../conf/ConfigWinDesktop.pl config.pl
2831
2832 or, better yet, create a config.pl file in __TOPDIR__/pc/$host
2833 that contains this line:
2834
2835     do "../../conf/ConfigWinDesktop.pl";
2836
2837 This alternative allows you to set other configuration options
2838 specific to each host (perhaps even overriding the settings in
2839 the included file).
2840
2841 Note that you could also include snippets of configuration settings
2842 from the main configuration file.  However, be aware that the
2843 modification-time checking that BackupPC does only applies to the
2844 main configuration file: if you change one of the included files,
2845 BackupPC won't notice.  You will need to either touch the main
2846 configuration file too, or send BackupPC a HUP (-1) signal.
2847
2848 =head1 Configuration Parameters
2849
2850 The configuration parameters are divided into five general groups.
2851 The first group (general server configuration) provides general
2852 configuration for BackupPC.  The next two groups describe what to
2853 backup, when to do it, and how long to keep it.  The fourth group
2854 are settings for email reminders, and the final group contains
2855 settings for the CGI interface.
2856
2857 All configuration settings in the second through fifth groups can
2858 be overridden by the per-PC config.pl file.
2859
2860 __CONFIGPOD__
2861
2862 =head1 Version Numbers
2863
2864 Starting with v1.4.0 BackupPC switched to a X.Y.Z version numbering
2865 system, instead of X.0Y. The first digit is for major new releases, the
2866 middle digit is for significant feature releases and improvements (most
2867 of the releases have been in this category), and the last digit is for
2868 bug fixes. You should think of the old 1.00, 1.01, 1.02 and 1.03 as
2869 1.0.0, 1.1.0, 1.2.0 and 1.3.0.
2870
2871 =head1 Author
2872
2873 Craig Barratt  <cbarratt@users.sourceforge.net>
2874
2875 See L<http://backuppc.sourceforge.net>.
2876
2877 =head1 Copyright
2878
2879 Copyright (C) 2001-2003 Craig Barratt
2880
2881 =head1 Credits
2882
2883 Xavier Nicollet, with additions from Guillaume Filion, added the
2884 internationalization (i18n) support to the CGI interface for v2.0.0.
2885
2886 Ryan Kucera contributed the directory navigation code and images
2887 for v1.5.0.  He also contributed the first skeleton of BackupPC_restore.
2888
2889 Guillaume Filion wrote BackupPC_zipCreate and added the CGI support
2890 for zip download, in addition to some CGI cleanup, for v1.5.0.
2891
2892 Many people have reported bugs, made useful suggestions and helped
2893 with testing; see the ChangeLog and the mail lists.
2894
2895 Your name could appear here in the next version!
2896
2897 =head1 License
2898
2899 This program is free software; you can redistribute it and/or modify it
2900 under the terms of the GNU General Public License as published by the
2901 Free Software Foundation; either version 2 of the License, or (at your
2902 option) any later version.
2903
2904 This program is distributed in the hope that it will be useful,
2905 but WITHOUT ANY WARRANTY; without even the implied warranty of
2906 MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU
2907 General Public License for more details.
2908
2909 You should have received a copy of the GNU General Public License in the
2910 LICENSE file along with this program; if not, write to the Free Software
2911 Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA.