Offtopic: Ich versuch' das selten zu machen und bin auch nicht reingegrätscht sondern wollte das nur hinterher als Abschluß nochmal zu Dokuzwecken drin haben. Da ich aber auch schon per Mail/PN mal häufiger das ein oder andere bekomme, hab' ich schon überlegt da wirklich eine Art kleine FAQ/Top10 zu schreiben, um das "Übliche" mal abzufrühstücken. Ich meine es meistens auch nicht bierernst ;)
Und nee, eher nicht so sehr genossen. Waren jetzt einige Wochen mit halb-krank bis krank und wieder zurück. Freue mich jetzt mal näcshte Woche auf eine richtige Woche Urlaub mit Erholung und etwas Zeit, auch hier mal das ein oder andere noch zu schreiben (dokutechnisch). Nebenbei versuche ich auch noch mich/uns/meine Firma bei pfSense zertifizieren zu lassen, damit das in Zukunft auch noch besser klappt. Insofern habe ich eher Hoffnungen auf den Winter/Weihnachtsferien - vorher ist einfach noch so viel zu tun ;)
@hoffi: Zum Thema Backup: Das Einfachste ist natürlich, hier ein Backup XML zu ziehen. Wenn wer das noch genauer will, dafür speichert pfSense eine Art Audit-Log. Auch wenn das noch spärlich dokumentiert und nicht richtig geführt ist, werden dort alle Änderungen vorgehalten, die jemand gemacht hat.
-> Diagnostic / Backup/Restore -> Reiter "Config History".
Seit Version 2.2+ kann hier auch die Anzahl der History Einträge erhöht werden.
Ich empfehle hier, für jeden Admin, der am System arbeitet, einen eigenen Account zu machen, dann kann man in der History auch sehen, wer es "verbrochen" hat.
–-
Sollte es interessant sein für jemanden: Ich habe bei uns firmenintern ein kleines Shell Skript geschrieben, welches per SSH/SCP diese History abgreift und auf einem Linux Host mit Git in ein vorgegebenes Verzeichnis herunterlädt. Anschließend wird versucht zu ermitteln, welche der History Files bereits in GIT vorhanden sind, diese werden gelöscht. Alle anderen werden dann zeitlich korrekt hintereinander mit entsprechendem Commit Text lokal committet und anschließend an einen GIT Master gepusht (bei uns in internes GitLab).
Vorteil der "Bastellösung" ;) - wir sehen genau wie die Config History jede kleine Änderung auch im Git inkl. der Information der pfSense, welcher User die Änderung vorgenommen hat (da es im Commit Log steht). Somit kann auch recht einfach zu einem bestimmten Config Punkt zurückgesprungen werden. Das ganze läuft mit einem extra Backup User der SSH Zugang per passwortlosem Key braucht. Ist aber keine "fully automatic" Geschichte, als ich kürzlich unseren Slave ausgetauscht habe, musste ich das wieder neu auf dem Slave einrichten (weil sich natürlich der SSH Host Key etc. geändert hatte) und da wir diesen neu installiert hatten, wurde natürlich auch der "letzte Config Stand" nicht erkannt (Timestamp aus dem XML File). Damit wurde dann die volle History eingelesen, aber einige Änderungen gingen dann verloren (hatte leider zu lange keiner gemerkt) ;)
Sollte daran Interesse bestehen, könnte ich das gern mal aufarbeiten und posten bzw. in ein GitHub Repo basteln, vielleicht mags ja jemand noch besser machen :)
