Sauvegardes en annexe avec borg vers un autre VPS ou serveur dédié

Ce tutoriel montrera comment sauvegarder les données d’un serveur, dénommé serveur principal, sur un autre hôte, ici nommé serveur de sauvegarde, avec le logiciel gratuit de sauvegarde Borg. Le serveur de sauvegarde sera configuré de manière à ce que le serveur principal, dans le cadre d’une utilisation normale, ne puisse qu’ajouter de nouvelles données, et non supprimer ou modifier les anciennes sauvegardes. Cette fonction d’ajout uniquement, combinée au fait que les sauvegardes sont stockées sur un serveur séparé dans un emplacement distinct, permet de protéger les sauvegardes contre la perte de données due, par exemple, à des accidents naturels ou à une attaque de pirates contre le serveur principal.

Les conditions préalables pour suivre ce guide sont d’utiliser Debian Stretch (9) ou Debian Buster (10) et d’avoir deux serveurs disponibles, un serveur principal sur lequel les sauvegardes sont effectuées et un autre serveur de sauvegarde où les archives de sauvegarde seront stockées. Ces deux serveurs doivent être situés dans des endroits séparés pour une protection optimale.

Ce guide commencera par la configuration sur le serveur de sauvegarde dans la première section. Dans la deuxième section, nous allons configurer le serveur principal, puis effectuer une sauvegarde, une restauration de test et montrer comment élaguer manuellement les anciennes archives de sauvegarde.

1 Configurer le serveur de sauvegarde

1.1 Installe borg et crée un nouvel utilisateur borgbackup

Sur le serveur de sauvegarde (le serveur où les sauvegardes doivent être stockées), installe Borg dans un terminal root avec cette commande :

apt install borgbackup

Ensuite, choisis un mot de passe pour l’utilisateur borg que nous allons bientôt créer. (Il est obligatoire d’avoir un mot de passe pour chaque utilisateur, cependant, ce mot de passe ne sera presque jamais utilisé, car nous nous connecterons normalement au serveur de sauvegarde avec une clé SSH). Si tu veux générer un mot de passe aléatoire de 64 caractères, utilise cette commande :

< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-64};echo;

Copie le mot de passe de l’utilisateur borg affiché dans le presse-papiers, et enregistre-le dans un endroit sûr, ailleurs que sur le serveur lui-même.

Maintenant, nous allons créer l’utilisateur borgbackup :

adduser borgbackup

Lorsque tu reçois une question sur le mot de passe, colle le mot de passe que tu as copié plus tôt, appuie sur Entrée, puis colle à nouveau le mot de passe suivi d’Entrée. Ne remplis rien d’autre, appuie simplement sur Entrée pour répondre aux questions suivantes.

1.2 Générer les clés SSH pour l’utilisateur borgbackup

Nous devons maintenant devenir le nouvel utilisateur avec su :

su borgbackup
cd

Ensuite, nous générons une nouvelle paire de clés SSH pour l’utilisateur :

ssh-keygen -t ed25519

Après avoir appuyé sur Entrée, tu obtiendras une série de questions. Laisse les réponses vides et continue d’appuyer sur Entrée plusieurs fois jusqu’à ce que la commande soit terminée. Ne définis pas de phrase de passe pour la clé, appuie également sur Entrée à cette question.

1.3 Créer le répertoire de sauvegarde

Il est maintenant temps de créer le répertoire où seront stockées les sauvegardes, qui, dans la terminologie borg, est défini comme le référentiel borg. Nous appellerons simplement le répertoire borgbackup, mais tu pourrais plutôt choisir de le nommer d’après le nom d’hôte de ton serveur principal.

cd
mkdir borgbackup
chmod go-rwx borgbackup
chmod u+rwx borgbackup

2 Configurer le serveur principal et comment il se connecte au serveur de sauvegarde

2.1 Installe Borg

Nous passons maintenant du travail sur le serveur de sauvegarde au travail sur le serveur principal.

Sur le serveur principal (le serveur sur lequel tu veux faire des sauvegardes), installe Borg dans un terminal root avec cette commande :

apt install borgbackup

Plus tard, nous aurons besoin de l’adresse IP externe du serveur principal (celui où nous nous trouvons). Copie cette adresse IP pour l’avoir à portée de main. Si tu ne te souviens pas de l’adresse IP externe du serveur principal, exécute cette commande pour l’afficher :

wget -qO- http://ipecho.net/plain | xargs echo

2.2 Autoriser le serveur principal à accéder au serveur de sauvegarde

Commandes à exécuter sur le serveur principal

Nous allons maintenant préparer l’authentification de la clé SSH pour qu’il soit possible de se connecter du serveur principal au serveur de sauvegarde. Tout d’abord, utilise cette commande pour afficher la clé publique SSH de l’utilisateur root sur le serveur principal :

cat ~/.ssh/id_*.pub

Si tu as une clé publique SSH pour root, tu devrais maintenant voir cette clé s’afficher. Copie la clé dans ton presse-papiers, tu devras la coller plus tard dans un fichier sur le serveur de sauvegarde.

Si tu ne vois pas la clé affichée, tu dois générer la paire de clés. Par exemple, exécute cette commande dans ce cas : ssh-keygen -t ed25519 suivie de plusieurs pressions sur la touche Entrée.

Maintenant, nous devons dire au serveur de sauvegarde d’autoriser l’accès depuis le serveur principal (où nous nous trouvons en ce moment) avec la clé SSH publique. Pour ce faire, entre cette commande, mais remplace d’abord BACKUPHOSTNAMEpar le nom d’hôte de ton serveur de sauvegarde :

ssh-copy-id -i ~/.ssh/id_*.pub [email protected]BACKUPHOSTNAME

Connecte-toi au serveur de sauvegarde

Tu dois maintenant entrer le mot de passe de l’utilisateur borgbackup que tu as créé à l’étape 1.1. Une fois que c’est fait, il devrait être possible d’accéder directement au serveur de sauvegarde en tant qu’utilisateur borgbackup sans mot de passe. Maintenant, vérifie que c’est possible en tapant cette commande, en remplaçant BACKUPHOSTNAME par le nom d’hôte de ton serveur de sauvegarde :

ssh [email protected]BACKUPHOSTNAME

Commandes que tu exécutes sur le serveur de sauvegarde

Nous allons maintenant renforcer encore plus la sécurité en limitant l’accès uniquement à partir de l’adresse IP du serveur principal à l’aide de cette clé.

Reste sur le serveur de sauvegarde et exécute cette commande :

nano ~/.ssh/authorized_keys

Maintenant, tu devrais voir une longue ligne qui commence par ssh. Vérifie que le curseur se trouve au début du fichier. Ajoute les données suivantes sur la même ligne, avant la clé ssh, mais remplace d’abord SERVERIPADDRESS par l’adresse IP de ton serveur (que tu as recherchée au début de cette section) :

from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc 

Assure-toi qu’il y a un caractère d’espace entre la section que tu as ajoutée et la section préexistante commençant par ssh qui suit ensuite. Ensuite, enregistre le fichier avec Ctrl+O et quitte avec Ctrl+X. Nous avons maintenant limité l’accès au serveur de sauvegarde de deux manières. Premièrement, seule l’adresse IP du serveur principal est autorisée à y accéder. Deuxièmement, grâce à l’option –append-only, il est seulement permis d’ajouter des données au référentiel borg, mais les suppressions et les modifications ne sont pas autorisées.

Se déconnecter du serveur de sauvegarde et revenir au serveur principal

Exécute cette commande pour te déconnecter du serveur de sauvegarde et revenir au serveur principal :

exit

2.3 Choisis un mot de passe pour le référentiel borg

Un référentiel borg est l’emplacement où sont stockées les sauvegardes. Il est protégé par un mot de passe de référentiel borg, que tu dois choisir. Le mot de passe est nécessaire pour effectuer de nouvelles sauvegardes et accéder aux anciennes. Tu peux soit trouver un mot de passe toi-même (choisis un minimum de 20 caractères pour une sécurité optimale), soit générer aléatoirement un mot de passe de 64 caractères avec cette commande :

< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-64};echo;

Copie le mot de passe du référentiel borg dans ton presse-papiers en le marquant et en appuyant sur Ctrl+C. Il est essentiel d’enregistrer le mot de passe du référentiel borg dans un endroit sûr car sans ce mot de passe, tu ne peux pas accéder à tes sauvegardes ! Enregistre donc dès maintenant une copie du mot de passe borg ailleurs que sur tes serveurs, par exemple dans un gestionnaire de mots de passe (comme KeePass) sur ton propre ordinateur.

2.4 Crée le référentiel borg

Dans la terminologie Borg, l’emplacement où sont stockées les sauvegardes est appelé le référentiel borg . Le mot de passe va maintenant être défini comme une variable environnementale en vue de la création de ce dépôt. Remplace PASSWORD par ton mot de passe réel et exécute la commande ci-dessous en tant qu’utilisateur root de ton serveur principal :

export BORG_PASSPHRASE='PASSWORD'

Crée le référentiel borg de cette façon – mais remplace d’abord BACKUPHOSTNAME par le nom d’hôte de ton serveur de sauvegarde :

borg init -e repokey-blake2 [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/

Tout est maintenant prêt pour utiliser borg pour les sauvegardes, qui seront le sujet de la section suivante.

3 Sauvegarde depuis le serveur principal

3.1 Exécute la sauvegarde manuellement

Dans l’exemple qui suit, l’ensemble du système du serveur principal sera sauvegardé, à l’exception de certains répertoires qui ne sont pas pertinents pour la sauvegarde.

Assure-toi que tu es connecté en tant que root sur ton serveur principal avant de continuer. Tout d’abord, nous allons définir la variable d’environnement pour le mot de passe du référentiel borg à l’aide de cette commande (remplace PASSWORD par ton mot de passe actuel du référentiel borg :

export BORG_PASSPHRASE='PASSWORD'

Ensuite, nous allons exécuter la commande suivante pour effectuer une sauvegarde complète du système. Adapte les exclusions de répertoire, qui commencent par –exclude, à tes besoins. Par exemple, tu peux vouloir ajouter une exclusion du répertoire /mnt en ajoutant –exclude=mnt S’il te plaît, note que tu ne dois pas saisir la première barre oblique dans le motif d’exclusion, par exemple tu écris mnt au lieu de /mnt. Tu dois aussi changer le BACKUPHOSTNAME en le nom d’hôte réel de ton serveur de sauvegarde. Nous devons d’abord exécuter une commande cd /, car borg lance normalement la sauvegarde depuis le répertoire à partir duquel elle est exécutée.

cd / && borg create --stats --progress --compress lz4 [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/::`hostname`-`date +%Y-%m-%d-%H-%M-%S` ./ --exclude=dev --exclude=mnt/borgbackup -exclude=proc --exclude=run --exclude=root/.cache/ --exclude=sys --exclude=tmp && cd

La première fois que la sauvegarde est lancée, cela prendra un certain temps (jusqu’à plusieurs heures si tu as une grande quantité de données à sauvegarder). Tu verras une ligne d’état mettre rapidement à jour le fichier que borg est en train de traiter dans la sauvegarde. À partir de la deuxième fois, les sauvegardes seront beaucoup plus rapides, car seules les modifications apportées depuis la dernière sauvegarde seront transmises.

3.2 Planifier la sauvegarde avec cron

Il est bien sûr préférable d’exécuter une sauvegarde automatique à un intervalle régulier, plutôt que de devoir se souvenir d’exécuter des sauvegardes manuelles. Pour ce faire, nous créons d’abord un script shell qui exécute la tâche de sauvegarde, que nous modifions ensuite avec l’éditeur nano en tant qu’utilisateur root sur le serveur principal :

touch /usr/local/bin/borgbackup.sh
chmod go-rwx /usr/local/bin/borgbackup.sh
chmod u+rwx /usr/local/bin/borgbackup.sh
nano /usr/local/bin/borgbackup.sh

Insère ces lignes dans le nouveau script shell :

#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
cd / && borg create --stats --progress --compress lz4 [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/::`hostname`-`date +%Y-%m-%d-%H-%M-%S` ./ --exclude=dev --exclude=proc --exclude=run --exclude=root/.cache/ --exclude=mnt/borgmount --exclude=sys --exclude=tmp && cd

Tu dois remplacer PASSWORD par le mot de passe de ton référentiel borg, remplacer BACKUPHOSTNAME par le nom d’hôte de ton serveur de sauvegarde et enfin ajuster les motifs d’exclusion à tes besoins – tu peux ajouter –exclude=mnt pour exclure le répertoire /mnt de la sauvegarde. Enregistre le fichier dans l’éditeur nano en appuyant sur Ctrl+O, puis quitte avec Ctrl+X.

Ensuite, teste le script en l’exécutant depuis le terminal :

/usr/local/bin/borgbackup.sh

Afin de programmer une sauvegarde à 02:00 chaque nuit, ajoute le script shell de sauvegarde que nous venons de créer à /etc/crontab :

nano /etc/crontab

Puis ajoute une nouvelle ligne à la crontab avec la tâche de sauvegarde :

# Backup via Borg to backup server 
00 02           * * *   root    /usr/local/bin/borgbackup.sh

4 Restaurer des fichiers (en étant connecté au serveur principal)

4.1 Afficher une liste des sauvegardes effectuées

Tu n’as pas de système de sauvegarde fonctionnel tant que tu n’as pas vérifié que tu peux restaurer les données de tes sauvegardes. Par conséquent, notre prochaine étape consiste à vérifier la sauvegarde que nous avons faite précédemment. Cela se fera à partir du terminal root du serveur principal. Nous le ferons en montant l’archive de sauvegarde comme un système de fichiers supplémentaire, mais d’abord, nous allons vérifier la liste des sauvegardes effectuées en créant un script shell en tant qu’utilisateur root sur ton serveur principal :

touch /usr/local/bin/borglist.sh
chmod go-rwx /usr/local/bin/borglist.sh
chmod u+rwx /usr/local/bin/borglist.sh
nano /usr/local/bin/borglist.sh

Insère ce qui suit dans le nouveau script shell, en remplaçant PASSWORD par le mot de passe de ton référentiel borg, et BACKUPHOSTNAME par le nom d’hôte de ton serveur de sauvegarde :

#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
borg list -v [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/

Enregistre le fichier avec Ctrl+O suivi de Ctrl+X. Puis exécute le script shell de cette façon :

/usr/local/bin/borglist.sh

Tu devrais maintenant voir une liste des sauvegardes qui ont été faites. Si ta première sauvegarde a été faite, tu devrais donc voir un élément dans la liste. Marque maintenant et copie le nom de l’archive dans le presse-papiers. Tu trouves le nom de l’archive dans la première colonne, il est composé du nom d’hôte de ton serveur principal suivi d’une date et d’une heure, sur ce format : nom d’hôte principal-2019-01-31-12-59-59 .

3.4 Vérifier/restaurer les données

Nous allons maintenant monter l’ensemble du référentiel borg comme un montage de système de fichiers FUSE. Cela signifie que le référentiel borg – y compris tous les fichiers qui ont été sauvegardés – devient un système de fichiers, que nous pouvons parcourir et inspecter à l’aide de commandes normales comme ls et cd.

Pour pouvoir monter facilement le référentiel borg, nous allons créer un raccourci des commandes sous la forme d’un script shell. Crée et modifie le script shell de cette façon :

touch /usr/local/bin/borgmount.sh
chmod go-rwx /usr/local/bin/borgmount.sh
chmod u+rwx /usr/local/bin/borgmount.sh
nano /usr/local/bin/borgmount.sh

Insère ensuite les lignes ci-dessous dans le script schell, mais change d’abord MOT DE PASSE ci-dessous par ton mot de passe du référentiel borg et change BACKUPHOSTNAME par le nom d’hôte de ton serveur de sauvegarde :

#!/bin/sh
mkdir -p /mnt/borgbackup
export BORG_PASSPHRASE='PASSWORD'
borg mount [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/ /mnt/borgbackup

Enregistre le fichier avec Ctrl+O suivi de Ctrl+X. Puis exécute le script shell de cette façon :

/usr/local/bin/borgmount.sh

Le référentiel borg devrait maintenant être monté dans /mnt/borgbackup – tu peux le vérifier en utilisant cd et ls :

cd /mnt/borgbackup
ls

Tu devrais maintenant voir un répertoire dans lequel réside ta sauvegarde. Va dans ce répertoire avec cd (remplace NOMDURÉPERTOIRE par le nom du répertoire que tu vois s’afficher à la suite de la commande ls que tu viens de saisir) et utilise ensuite ls pour voir le contenu :

cd DIRECTORYNAME
ls

Tu peux maintenant voir la dernière archive (la dernière sauvegarde effectuée). Tu peux comparer avec diff qu’un fichier a été sauvegardé correctement, par exemple pour /etc/fstab, avec cette commande :

diff etc/fstab /etc/fstab

Si tu n’obtiens aucun résultat de diff, les deux fichiers sont identiques et la sauvegarde a fonctionné pour ce fichier. En revanche, si tu as modifié le fichier depuis la dernière sauvegarde, tu verras quelles sont les lignes des fichiers qui diffèrent.

Si tu veux, tu peux restaurer les fichiers à partir de la sauvegarde, simplement en utilisant la commande cp pour copier les fichiers du sous-répertoire de /mnt/borgbackup dans lequel tu te trouves en ce moment dans le terminal.

Enfin, nous allons créer un script pour démonter le montage de borg fuse.

Crée et modifie le script shell de cette façon :

touch /usr/local/bin/borgumount.sh
chmod go-rwx /usr/local/bin/borgumount.sh
chmod u+rwx /usr/local/bin/borgumount.sh
nano /usr/local/bin/borgumount.sh

Insère ensuite les lignes ci-dessous dans le script shell :

#!/bin/sh
cd ~
umount /mnt/borgbackup
rmdir /mnt/borgbackup

Enregistre le fichier avec Ctrl+O suivi de Ctrl+X. Puis exécute le script shell de cette façon :

/usr/local/bin/borgumount.sh

Le montage du fusible borg est maintenant démonté et tu as été placé dans le répertoire /root/ du terminal.

4 Élague les anciennes sauvegardes (nécessite un accès à la fois au serveur de sauvegarde et au serveur principal)

Nous devons maintenant faire des allers-retours entre le serveur de sauvegarde et le serveur principal. Tout d’abord, nous commençons par des commandes sur le serveur de sauvegarde.

Au bout d’un moment, la taille des sauvegardes peut devenir importante. Pour des raisons de sécurité, il n’est pas permis au serveur principal de supprimer automatiquement les anciennes sauvegardes. Cependant, nous pouvons autoriser temporairement la suppression des anciennes archives de sauvegarde lorsque cela est nécessaire, afin d’économiser de l’espace disque sur le serveur de sauvegarde.

Ce processus de suppression est appelé « pruneau » dans la terminologie de Borg. Le processus d’élagage commence sur le serveur de sauvegarde, en autorisant un accès temporaire en lecture-écriture. Ensuite, nous nous connectons au serveur principal pour lancer la commande d’élagage. Enfin, nous accédons à nouveau au serveur de sauvegarde pour désactiver l’accès en lecture-écriture afin que les anciennes sauvegardes soient à nouveau protégées contre toute suppression ou modification.

4.1 Autoriser l’accès temporaire en lecture+écriture (fait depuis le serveur de sauvegarde)

Nous allons maintenant travailler sur le serveur de sauvegarde.

Par conséquent, connecte-toi au serveur de sauvegarde et connecte-toi en tant que root. Afin d’autoriser l’accès en lecture et écriture, nous devons modifier le fichier /home/borgbackup/.ssh/authorized_keys sur le serveur de sauvegarde. Exécute ces commandes pour devenir l’utilisateur borgbackup, fais une sauvegarde du fichier et modifie ensuite le fichier avec nano :

su borgbackup
cd
cp -a ~/.ssh/authorized_keys ~/.ssh/authorized_keys.bak
nano ~/.ssh/authorized_keys

Maintenant, tu devrais voir dans l’éditeur nano une longue ligne qui commence par from= . Coupe la ligne en appuyant sur Ctrl+K, puis sur Ctrl+U, et encore une fois Ctrl+U pour que tu aies maintenant deux lignes identiques. Appuie deux fois sur la touche Up de ton clavier pour placer le curseur sur la première ligne. Puis tape le caractère # pour mettre en commentaire la première ligne. Ensuite, appuie sur la touche Bas de ton clavier pour arriver à la deuxième ligne. Ici, tu dois te déplacer vers la droite avec la touche Droite de ton clavier jusqu’à ce que tu te trouves au premier – dans –append-only. Ensuite, appuie plusieurs fois sur la touche Del pour supprimer l’option –append-only . Le fichier devrait ressembler approximativement à ceci, note que nous avons commenté la première ligne et que –append-only est supprimé de la deuxième ligne :

#from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ...
from="SERVERIPADDRESS",command="borg serve --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ..

Enregistre le fichier avec Ctrl+O et quitte avec Ctrl+X. Nous avons maintenant activé l’accès en lecture+écriture au référentiel borg.

4.2 Élague les anciennes sauvegardes (fait depuis le serveur principal)

Maintenant, connecte-toi au serveur principal dans une nouvelle fenêtre de terminal en tant qu’utilisateur root.

Nous allons maintenant créer un script sur le serveur principal pour élaguer (c’est-à-dire supprimer) les anciennes sauvegardes. Crée et modifie le script shell sur le serveur principal de cette façon :

touch /usr/local/bin/borgprune.sh
chmod go-rwx /usr/local/bin/borgprune.sh
chmod u+rwx /usr/local/bin/borgprune.sh
nano /usr/local/bin/borgprune.sh

Insère ensuite les lignes ci-dessous dans le script shell. Puis remplace MOT DE PASSE par ton mot de passe du référentiel Borg et BACKUPHOSTNAME par le nom d’hôte de ton serveur de sauvegarde. Tu dois aussi ajuster le nombre d’anciennes sauvegardes que tu veux conserver. Dans cet exemple, nous conservons 7 sauvegardes quotidiennes, 4 sauvegardes hebdomadaires et 12 sauvegardes mensuelles.

#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
borg prune --stats --progress [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/ --prefix `hostname`- --keep-daily=7 --keep-weekly=4 --keep-monthly=12

Appuie sur Ctrl+O et Ctrl+X pour enregistrer et quitter le fichier. Ensuite, exécute le script prune que tu viens de créer sur le serveur principal :

/usr/local/bin/borgprune.sh

Cette commande prendra un certain temps (cela peut aller jusqu’à quelques heures), mais tu peux voir les progrès qu’elle fait en cours de route, en deux passages pour arriver à 100%.

4.3 Interdire l’accès en lecture+écriture (fait depuis le serveur de sauvegarde)

Maintenant, nous retournons travailler sur le serveur de sauvegarde.

Une fois la commande prune terminée sur le serveur principal, connecte-toi au serveur de sauvegarde en tant qu’utilisateur borgbackup et modifie à nouveau le fichier /home/borgbackup/.ssh/authorized_keys pour interdire l’accès en lecture et en écriture.

Fais comme ceci sur le serveur de sauvegarde :

su borgbackup
cd
nano ~/.ssh/authorized_keys

Dans l’éditeur nano, supprime le caractère # au début de la première ligne en appuyant sur la touche Del de ton clavier. Ensuite, appuie sur la touche Bas et insère un nouveau caractère # sur la deuxième ligne. Après cela, le fichier devrait ressembler plus ou moins à ceci :

from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ...
#from="SERVERIPADDRESS",command="borg serve --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ..

Enregistre le fichier avec Ctrl+O et quitte avec Ctrl+X. Nous avons maintenant désactivé l’accès en lecture+écriture au référentiel borg.

Maintenant, les sauvegardes peuvent continuer comme d’habitude, en mode append-only, et tu es protégé des tentatives de suppression du serveur principal visant les sauvegardes stockées sur le serveur de sauvegarde.

4.4 Remarques finales

Tu as maintenant créé un système de sauvegarde qui est hors site et en append-only. Cela signifie que les sauvegardes sont protégées de deux manières. Premièrement, les sauvegardes sont protégées dans le sens où elles sont physiquement séparées du serveur principal. Deuxièmement et enfin, les sauvegardes déjà effectuées sont protégées des tentatives de modification depuis le serveur principal (sauf si tu décides explicitement de les modifier par un élagage manuel).

Vous aimerez aussi...