pgBackRest SFTP存储配置中的权限问题解析

问题背景

在使用pgBackRest进行PostgreSQL数据库备份时，选择SFTP作为存储后端是一种常见的做法。然而在实际配置过程中，用户可能会遇到"libssh2 error [-31]: sftp error [3]"这样的权限错误。本文将以一个典型场景为例，深入分析该问题的成因和解决方案。

错误现象分析

当用户尝试执行pgbackrest --stanza=demo stanza-create命令时，系统返回错误信息：

ERROR: [041]: unable to get info for path/file '/var/lib/pgbackrest/archive/demo/archive.info': libssh2 error [-31]: sftp error [3]

通过调试信息可以确认，错误代码3对应的是LIBSSH2_FX_PERMISSION_DENIED，即权限拒绝错误。这表明SFTP用户没有足够的权限访问指定的存储路径。

根本原因

1. 目录所有权问题：检查/var/lib/pgbackrest目录发现，该目录及其子目录的所有者和组均为postgres用户：

   drwxr-x--- 3 postgres postgres 4096 Aug 21 08:32 archive
   drwxr-x--- 3 postgres postgres 4096 Aug 21 08:32 backup
   

2. SFTP用户权限不足：配置中指定的SFTP用户(pgbackrest)不属于postgres组，且目录权限设置为750(rwxr-x---)，导致SFTP用户无法访问该目录。

解决方案

方案一：创建共享用户组

1. 创建一个新的用户组，例如backupgroup：

   sudo groupadd backupgroup
   

2. 将postgres和pgbackrest用户都加入该组：

   sudo usermod -aG backupgroup postgres
   sudo usermod -aG backupgroup pgbackrest
   

3. 修改存储目录的组所有权和权限：

   sudo chown -R postgres:backupgroup /var/lib/pgbackrest
   sudo chmod -R 775 /var/lib/pgbackrest
   

方案二：直接修改目录权限

如果安全要求允许，可以直接放宽目录权限：

sudo chmod -R 777 /var/lib/pgbackrest

注意：这种方法会降低安全性，仅建议在测试环境中使用。

配置验证

完成权限调整后，可以通过以下方式验证配置是否生效：

1. 使用SFTP用户身份测试目录访问：

   sudo -u pgbackrest ls -l /var/lib/pgbackrest
   

2. 重新执行stanza创建命令：

   sudo -u postgres pgbackrest --stanza=demo stanza-create
   

技术要点总结

1. SFTP权限模型：SFTP协议继承自SSH，其权限检查基于Linux系统的文件权限设置。

2. pgBackRest的工作机制：当使用SFTP存储时，pgBackRest会通过libssh2库建立SFTP连接，所有文件操作都受限于SFTP用户的权限。

3. 最佳实践：

   • 为备份操作创建专用用户和组
   • 遵循最小权限原则分配目录权限
   • 定期审计备份目录的权限设置

4. 调试技巧：

   • 启用SFTP服务器的详细日志(通过配置Subsystem sftp /usr/lib/openssh/sftp-server -l VERBOSE)
   • 检查系统日志(/var/log/auth.log)获取详细的认证信息

后续操作建议

成功配置SFTP存储后，pgBackRest会将备份文件存储在配置的repo路径下(/var/lib/pgbackrest)。备份文件会按照以下结构组织：

• archive/：存放WAL归档日志
• backup/：存放基础备份

建议定期检查备份文件的完整性和可用性，确保在需要恢复时能够正常工作。