Copias de seguridad económicas solo de anexos fuera del sitio con restic y Wasabi en Debian 10

Esta guía muestra cómo instalar y configurar el software de copia de seguridad gratuito restic en Debian Buster para almacenar copias de seguridad fuera del sitio en la empresa de almacenamiento en la nube Wasabi. La principal ventaja de esta guía es que proporciona copias de seguridad obligatorias solo de anexos. Esto significa que una vez que se ha realizado una copia de seguridad, está segura en el sentido de que no puede ser sobrescrita o borrada del sistema del cual se realizó la copia de seguridad. Esto significa que los archivos de copia de seguridad están protegidos tanto de desastres naturales en el servidor de origen (por ejemplo, fuego) como de accidentes provocados por el hombre (como un error en el símbolo del shell raíz). Las copias de seguridad también están protegidas en el sentido de que se almacenan cifradas, lo que significa que solo la persona o el sistema que tiene la contraseña de la copia de seguridad puede leerla.

Por favor, tenga en cuenta que esta guía se proporciona tal cual, sin ninguna garantía. El software de copia de seguridad restic aún no ha alcanzado la versión 1.0, y por lo tanto nunca debe usarlo como su única solución de copia de seguridad. Para estar protegido ante posibles contratiempos, asegúrese de hacer una copia de seguridad del sistema que pretende usar para el propósito de esta guía antes de comenzar. También asegúrese de probar que la copia de seguridad que ha realizado realmente funciona a través de una restauración de prueba.

La guía está basada y probada en Debian Buster (Debian 10). Las versiones anteriores de Debian están fuera del alcance de esta guía, pero si desea experimentar por su cuenta, debería ser posible agregar el repositorio de paquetes apt de Debian Buster para instalar versiones recientes de restic, tinyproxy y rclone también en Debian Jessie o Stretch.

Esta guía está estructurada en cinco partes:

En la primera parte, prepararemos una cuenta en el almacenamiento en la nube Wasabi donde más tarde almacenaremos las copias de seguridad. Wasabi ofrece una prueba gratuita de 30 días para fines de prueba.

En segundo lugar, instalaremos y configuraremos rclone, que por un lado proporciona acceso al almacenamiento en Wasabi, y por otro lado ofrece una interfaz de acceso para restic hacia el almacenamiento.

En tercer lugar, se preparará tinyproxy - un servidor proxy simple - ya que se necesita como intermediario para hacer que el almacenamiento funcione de manera solo de anexos junto con restic.

En cuarto lugar, configuraremos el programa de copia de seguridad restic.

Como último paso, probaremos tanto la realización de una copia de seguridad como una restauración parcial.

1 Preparar una cuenta en el almacenamiento en la nube de Wasabi

1.1 Iniciar una cuenta de Wasabi

Wasabi tiene una prueba gratuita de 30 días que se puede encontrar aquí:

https://wasabi.com/sign-up/

Después de completar el formulario en la página web anterior, recibirá sus datos de acceso para la interfaz web de Wasabi. Utilice sus datos de acceso para iniciar sesión en esta página:

https://console.wasabisys.com/

1.2 Crear un bucket para datos y otro para bloqueo

Ahora crearemos dos llamados “Buckets”. Un bucket es un contenedor de almacenamiento en el que almacena datos.

Cree el primer bucket haciendo clic en el ícono rojo llamado Crear Bucket que encontrará en la parte superior derecha de la página web. El primer bucket será donde se almacenarán todos los datos de copia de seguridad, que más tarde nos referiremos como DATABUCKET. Ahora necesita elegir un nombre para el bucket. Por ejemplo, puede usar el siguiente formato como plantilla para el nombre del bucket:

*tudominio.com*-restic-data

Por favor, reemplace tudominio.com en el nombre de plantilla anterior con el nombre de dominio de la computadora que desea respaldar. Después de establecer el nombre del DATABUCKET, por favor, escríbalo. Lo necesitará más tarde para reemplazar el texto de marcador de posición DATABUCKET en las plantillas que seguirán más adelante en esta guía.

Luego elija la región en la que desea que esté el bucket. Para un rendimiento óptimo, es bueno elegir la región/continente del servidor que desea respaldar. Así que en caso de que su servidor esté en Europa, podría elegir:

eu-central-1

Luego presione Siguiente.

En la siguiente página se muestran dos opciones: para Versionado de Bucket y Registro de Bucket, respectivamente. Puede dejar estas opciones en sus valores predeterminados, es decir, Suspender Versionado y Suspender Registro. Luego haga clic en Siguiente, y haga clic en Crear Bucket.

Ahora, repita el mismo procedimiento y cree otro bucket. Este segundo bucket solo se utilizará para almacenar la información de bloqueo de restic. Más tarde nos referiremos a él como el LOCKBUCKET. Haga clic nuevamente en el botón Crear Bucket, y ahora elija un nombre para este segundo bucket, por ejemplo, utilizando este formato:

*tudominio.com*-restic-locks

Por favor, reemplace tudominio.com en la plantilla anterior con el nombre de dominio de la computadora que se va a respaldar. Después de establecer el nombre del LOCKBUCKET, por favor, escríbalo. Lo necesitará más tarde para reemplazar LOCKBUCKET en las plantillas que seguirán más adelante en esta guía.

(Restic utiliza bloqueos para asegurarse de que solo un cliente a la vez realice copias de seguridad o restauraciones. La razón por la que necesitamos un bucket separado para la información de bloqueo es que restic necesita poder tanto agregar como eliminar bloqueos, y por lo tanto necesitamos un bucket que permita eliminaciones.)

1.3 Crear un usuario

Haga clic en el ícono IAM en la fila de íconos más alta. Ahora ha ingresado a la gestión de identidad y acceso. Haga clic en Usuarios en la columna izquierda. Luego haga clic en el ícono rojo llamado + Crear usuario y elija un nombre de usuario lógico, como el nombre de dominio del servidor que desea respaldar. Por ejemplo, el nombre de usuario podría ser system1.ejemplo.com. Después de establecer el nombre de usuario, por favor, escríbalo para que pueda reemplazar USERNAME en las plantillas que seguirán más adelante en esta guía con su valor.

En la sección Acceso en el diálogo, marque la casilla llamada Programático (crear clave API). Luego haga clic en Siguiente. Cree un grupo para el usuario. Si todos sus servidores estaban situados bajo un dominio principal, este dominio principal podría ser un nombre de grupo adecuado. Ahora haga clic en Siguiente. En la página siguiente (creación de políticas) simplemente haga clic en Siguiente. Finalmente, haga clic en el botón Crear usuario.

A la derecha del texto Clave Secreta hacia la parte inferior de la ventana de diálogo encontrará un pequeño enlace llamado Mostrar, que debe hacer clic. Guarde tanto la CLAVE DE ACCESO como la CLAVE SECRETA en un archivo de texto. Necesitará esta información más tarde cuando configure el acceso a Wasabi desde la computadora cliente que respaldará.

1.4 Crear una política

Para que el usuario que hemos creado tenga acceso a los dos buckets, necesitamos crear una política de acceso.

Haga clic en Políticas en la columna izquierda de la interfaz web de Wasabi. Luego haga clic en el botón rojo Crear Política. Puede elegir el nombre de dominio de la computadora que desea respaldar para el nombre de la política, por ejemplo system1.ejemplo.com. Escriba el nombre de la política en el campo superior izquierdo.

A continuación se muestra una plantilla que utilizará como base para la política real. Copie la plantilla en un editor de texto y luego reemplace las dos ocurrencias de DATABUCKET en el archivo de texto con el nombre que le dio al primer bucket, y las dos ocurrencias de LOCKBUCKET con el nombre que eligió para el segundo bucket.

{  
 "Version": "2012-10-17",  
 "Statement": [  
 {  
 "Effect": "Allow",  
 "Action": "s3:ListAllMyBuckets",  
 "Resource": "arn:aws:s3:::*"  
 },  
 {  
 "Effect": "Allow",  
 "Action": "s3:*",  
 "Resource": [  
 "arn:aws:s3:::*DATABUCKET*",  
 "arn:aws:s3:::*DATABUCKET*/*",  
 "arn:aws:s3:::*LOCKBUCKET*",  
 "arn:aws:s3:::*LOCKBUCKET*/*"  
 ]  
 }  
 ]  
}

Copie la política que ha creado desde su editor de texto y pégala en el gran campo principal de la ventana de diálogo de la página web de Wasabi. Luego haga clic en Guardar.

1.5 Aplicar la política

La política ahora necesita ser aplicada al usuario. Haga clic en Usuarios a la izquierda y luego haga clic en el usuario que ha creado. Ahora haga clic en la pestaña Permisos (a la derecha en el menú horizontal gris). Luego comience a escribir las primeras letras del nombre de la política que eligió cuando creó la política en el campo de texto bajo Comience a escribir para encontrar políticas para el usuario. Haga clic en el nombre de su política. Ahora ha aplicado la política al usuario.

1.6 Establecer el bucket de datos como inmutable (solo de anexos)

Por razones de seguridad, queremos que sea imposible sobrescribir copias de seguridad ya realizadas desde el cliente (la computadora desde la cual se realizan las copias de seguridad). Para lograr esto, utilizamos la función inmutable de Wasabi. En la interfaz web de Wasabi, haga clic en Almacenamiento (en la barra superior). Luego haga clic en el DATABUCKET (probablemente el que termina con restic-data). Haga clic en el blanco engranaje para Configuraciones (hacia la parte superior derecha). Luego haga clic en Cumplimiento en la barra blanca superior. Haga clic en el control deslizante a la derecha del Modo de Cumplimiento para activar este modo. Si lo desea, puede activar Eliminar Después de Retención, pero debe asegurarse de poner un valor grande en Tiempo de Retención, este es el tiempo mínimo que cada archivo permanece después de que el cliente intenta eliminarlo. Por ejemplo, ponga 100 años aquí. (Parece que no puede dejar este campo vacío para un tiempo de retención infinito). Esto significa que los datos están seguros durante 100 años durante los cuales no pueden ser eliminados ni modificados. Presione Guardar para guardar su configuración.

1.7 Crear la carpeta de bloqueo

En la interfaz web de Wasabi, haga clic en Almacenamiento (en la barra superior). Luego haga clic en el LOCKBUCKET (el que termina con restic-locks).

Ahora presione el botón verde llamado Crear carpeta. Nombre la carpeta locks para que pueda ser utilizada para los archivos de bloqueo de restic más adelante.

Ahora hemos terminado con la configuración en la interfaz web de Wasabi. En la siguiente sección, comenzaremos a trabajar en el terminal de la computadora que queremos respaldar.

2 Instalar y configurar rclone

2.1 Primero, haga una copia de seguridad a través de su sistema existente

Ahora es el momento de acceder a la computadora de la que se tomarán las copias de seguridad.

¡Recuerde hacer una copia de seguridad de esta computadora con un sistema existente! También pruebe que la copia de seguridad funciona a través de una restauración de prueba antes de continuar. En caso de que algo no funcione como se esperaba, es crítico poder revertir a una etapa funcional.

2.2 Instalar rclone

Todas las líneas que se muestran a continuación deben ser escritas en el terminal seguidas de Enter.

Conéctese al terminal de la computadora de la que desea hacer copias de seguridad, por ejemplo, a través de SSH. Luego emita este comando para convertirse en root:

su -

seguido de Enter y la contraseña de root. Se necesita acceso root, ya que instalaremos nuevos programas desde el repositorio de Debian.

Ahora instale rclone:

apt install rclone

2.3 Configurar rclone para conectarse a Wasabi

Luego, para configurar rclone, escriba este comando:

rclone config

Luego escriba:

n

Ahora es el momento de elegir un nombre para la configuración. Tenga en cuenta que (punto) no está permitido en el nombre, pero por otro lado - (guion) está permitido. Para nombrar su configuración de rclone, use esta plantilla, pero primero reemplace tudominio-com con su propio nombre de dominio, reemplazando primero (puntos) en el nombre de dominio con - (guiones):

wasabi-tudominio-com-restic

Guarde el nombre que le dé a la configuración de rclone, ya que más adelante reemplazará el marcador de posición RCLONECONFIG con el nombre.

Luego imprima 4 para Proveedores de Almacenamiento Compatibles con Amazon S3 y presione Enter.

Luego imprima 7 para Almacenamiento de Objetos Wasabi y presione Enter.

Luego imprima 1 para Ingrese las credenciales de AWS en el siguiente paso y presione Enter.

Copie la CLAVE DE ACCESO que guardó anteriormente en un archivo y péguela, luego presione Enter.

Luego copie y pegue la CLAVE SECRETA que también guardó en el mismo archivo anteriormente, seguida de Enter.

Imprima la región que eligió para sus buckets. Puede encontrar la región si hace clic en Almacenamiento en la fila superior de la interfaz web de Wasabi. Por ejemplo, escriba esta región para Europa y luego presione Enter:

eu-central-1

Para Endpoint para la API de S3, escriba esto si el bucket está en la región de la UE seguido de Enter:

s3.eu-central-1.wasabisys.com

Si su bucket está en los EE. UU., consulte el nombre de su endpoint en este documento:

https://wasabi-support.zendesk.com/hc/en-us/articles/360015106031-What-are-the-service-URLs-for-Wasabi-s-different-regions-

Deje Restricción de ubicación vacío y presione Enter.

Presione 1 para El propietario obtiene CONTROL_TOTAL y luego Enter.

Presione y para Editar configuración avanzada y luego Enter.

Presione Enter para el valor predeterminado para tamaño de fragmento

Presione Enter para el valor predeterminado para deshabilitar checksum

Presione Enter para el valor predeterminado para token de sesión

Escriba 16 para Concurrencia de carga y luego Enter.

Presione Enter para el valor predeterminado para forzar estilo de ruta

Presione Enter para el valor predeterminado para v2_auth seguido de Enter.

Presione y para Sí, esto está bien y Enter.

Presione q para salir de la configuración.

Ahora la configuración para rclone está terminada.

2.4 Probar que rclone funciona con Wasabi

Ahora cree un archivo de prueba a través de este comando:

echo test >> /tmp/test.txt

Transfiera el archivo de prueba a través del comando a continuación. Sin embargo, primero necesita cambiar RCLONECONFIG a su valor, y también DATABUCKET a su valor para este parámetro. Todo está en una línea:

rclone -v sync /tmp/test.txt RCLONECONFIG:DATABUCKET/

Si todo funciona, ahora debería ver el archivo test.txt en la interfaz web de Wasabi para el DATABUCKET. Tenga en cuenta que a veces puede tardar hasta aproximadamente 1 minuto hasta que se muestre el archivo. También pruebe una transferencia con el otro bucket, el que termina con restic-locks:

rclone -v sync /tmp/test.txt RCLONECONFIG:LOCKBUCKET/

Ahora verifique la interfaz web de Wasabi nuevamente, para el archivo de texto que debería estar en el LOCKBUCKET.

2.5 Configurar rclone para servir restic a través de systemd

Rclone tiene una función incorporada de usar un espacio de almacenamiento en la nube (Wasabi en nuestro caso) y servirlo a restic de una manera compatible. Esta forma de ejecutar rclone se realiza a través del comando rclone serve restic que funciona como un proceso de servidor. Necesitaremos dos de estos procesos de servidor: uno principal para casi todo, y un segundo que solo se ocupa de los archivos de bloqueo de restic.

Primero, cree un usuario restic:

adduser restic

Copia la configuración de rclone del usuario root al usuario restic:

su restic  
mkdir -p /home/restic/.config/rclone  
exit  
cp -a /root/.config/rclone/rclone.conf /home/restic/.config/rclone/  
chown restic.restic /home/restic/.config/rclone/rclone.conf

Cree un archivo de control de systemd, por ejemplo a través del editor nano:

nano /etc/systemd/system/restic-data.service

El archivo debe contener los datos a continuación. Tenga en cuenta que, como antes, necesita cambiar el valor de RCLONECONFIG así como el valor de DATABUCKET a su configuración.

[Unit]         
Description=Rclone serve restic data on wasabi  
After=network.target   
   
[Service]   
Type=simple   
User=restic       
Group=restic      
ExecStart=/usr/bin/rclone serve restic *RCLONECONFIG*:*DATABUCKET* --addr=127.0.0.1:8001 --append-only --retries 10 --transfers 20 --s3-upload-concurrency 8 --s3-chunk-size 16M  
Restart=always   
RestartSec=5   
StartLimitInterval=0   
   
[Install]   
WantedBy=multi-user.target 

Guarde el archivo. El propósito de esto es que rclone proporcione una interfaz restic hacia el bucket de almacenamiento en la nube de Wasabi. El servicio systemd que acabamos de crear se iniciará automáticamente en el próximo arranque, pero primero necesitamos activarlo a través de estos comandos:

systemctl daemon-reload  
systemctl enable restic-data  
systemctl start restic-data

Luego verificamos que el servicio haya comenzado:

systemctl status restic-data

Ahora debería ver Active: active (running) si todo funciona correctamente. Presione q para salir de la visualización del estado.

Ahora hemos instalado el servicio rclone serve restic en el puerto 8001 que se conecta a un bucket que es solo de anexos y almacenará las copias de seguridad.

A continuación, necesitamos otro servicio en el puerto 8002 para el sistema de bloqueo de restic, conectado al segundo bucket que es de lectura y escritura. Por lo tanto, repetiremos los pasos que acabamos de realizar una vez más con pequeñas modificaciones.

Cree un archivo de control de systemd:

nano /etc/systemd/system/restic-locks.service

El archivo debe contener los datos a continuación. La línea que comienza con ExecStart= es una sola línea larga dividida en tres líneas a continuación. Cambie el valor de RCLONECONFIG así como el valor de LOCKBUCKET a su configuración.

[Unit]         
Description=Rclone serve restic locks on wasabi  
After=network.target   
   
[Service]   
Type=simple   
User=restic       
Group=restic      
ExecStart=/usr/bin/rclone serve restic *RCLONECONFIG*:*LOCKBUCKET* --addr=127.0.0.1:8002   
Restart=always   
RestartSec=5   
StartLimitInterval=0   
  
[Install]   
WantedBy=multi-user.target   

Guarde el archivo y actívelo a través de:

systemctl daemon-reload  
systemctl enable restic-locks  
systemctl start restic-locks

Verifique que el servicio haya comenzado:

systemctl status restic-locks

Ahora debería ver Active: active (running).

Presione q para salir.

Ahora hemos creado ambos servicios systemd de rclone serve restic, primero en el puerto 8001 para el servicio principal en modo solo de anexos y luego en el puerto 8002 para el servicio de bloqueo en modo de lectura y escritura.

3 Preparar tinyproxy

Tinyproxy fusionará los dos servicios en un frente unificado presentado a restic. Se instala en un terminal root de la computadora que desea respaldar:

apt install tinyproxy

Luego cree una copia de seguridad del archivo de configuración de tinyproxy:

cp -a /etc/tinyproxy/tinyproxy.conf /etc/tinyproxy/tinyproxy.conf.bak

Si no se puede encontrar el archivo aquí, a menudo se puede encontrar en /etc/tinyproxy.conf en su lugar.

Ahora, edite el archivo de configuración:

nano /etc/tinyproxy/tinyproxy.conf

Debería hacer una serie de cambios en los archivos que ahora se detallarán. Primero, comente el número de puerto preestablecido y establezca un nuevo número de puerto:

#Port 8888  
Port 8000

En segundo lugar, es importante permitir solo conexiones desde localhost, así que agregue una línea Listen:

#Listen 192.168.0.1  
Listen 127.0.0.1

En tercer lugar, cambie el valor de tiempo de espera a una hora:

#Timeout 600  
Timeout 3600

Cuarto, conecte tinyproxy a los dos servicios systemd de rclone serve restic. Deben escribirse en el orden que se muestra a continuación: la regla general primero y la regla específica última, ya que la última regla en tinyproxy siempre gana en caso de empates.

ReversePath "/" "http://127.0.0.1:8001/"  
ReversePath "/locks" "http://127.0.0.1:8002/locks"

Finalmente, haga que tinyproxy opere exclusivamente en modo solo inverso:

#ReverseOnly Yes  
ReverseOnly Yes

Ahora, se han realizado todas las ediciones necesarias. Por favor, guarde el archivo de configuración, en nano lo hace presionando Ctrl+O, y luego salga de nano con Ctrl+X para volver al terminal.

Para activar tinyproxy, ahora lo reiniciaremos:

systemctl stop tinyproxy  
systemctl start tinyproxy

Finalmente, verifique que tinyproxy esté funcionando correctamente:

systemctl status tinyproxy

Presione q para salir. Ahora, tinyproxy está configurado para su uso por restic. En la siguiente sección, configuraremos restic en sí mismo.

4 Configurar el programa de copia de seguridad restic

Finalmente, realizaremos el último paso de la configuración, que es configurar el programa de copia de seguridad restic. Primero, instale restic:

apt install restic

Luego necesitamos inicializar las variables ambientales para restic. Primero especificamos la ubicación del repositorio de restic ingresando esto en un terminal:

export RESTIC_REPOSITORY='rest:http://127.0.0.1:8000/'

Ahora decida una frase de contraseña fuerte para sus copias de seguridad. Es importante que almacene la frase de contraseña en un lugar seguro. La frase de contraseña es necesaria para poder acceder a las copias de seguridad, ya que estas están completamente cifradas. Reemplace PASSPHRASE a continuación con la contraseña que ha elegido y luego ingrese el comando en el terminal:

export RESTIC_PASSWORD='PASSPHRASE'  
 

Ahora creemos el repositorio de restic:

restic init

Probemos que restic funcione como debería. Ya hemos almacenado la contraseña en la variable ambiental RESTIC_PASSWORD, por lo que podemos acceder al repositorio para listar instantáneas:

restic snapshots

Si todo va como debería, ahora deberíamos obtener una lista vacía (ya que no hemos realizado ninguna copia de seguridad aún) y el texto 0 instantáneas.

Ahora hemos preparado todo para el almacenamiento de las copias de seguridad y podemos pasar a los pasos finales de realizar copias de seguridad y restauraciones.

5 Probar tanto la copia de seguridad como una restauración parcial

En el último paso de este tutorial, realizaremos una copia de seguridad completa del sistema y luego probaremos una restauración parcial. Para este propósito se crearán dos scripts de shell (uno para la copia de seguridad y otro para la restauración).

5.1 Preparar un script de copia de seguridad

Primero, necesita tener un script de copia de seguridad que se pueda ejecutar a través de cron a intervalos adecuados, por ejemplo, una vez al día. El script de copia de seguridad puede, por ejemplo, ser creado como un archivo al que solo root tiene acceso y luego editado con nano:

touch /usr/local/bin/backup-restic.sh   
chown root.root /usr/local/bin/backup-restic.sh  
chmod 700 /usr/local/bin/backup-restic.sh  
nano /usr/local/bin/backup-restic.sh

A continuación se muestra un ejemplo del contenido del script de copia de seguridad, en el que necesita cambiar PASSPHRASE a la frase de contraseña que eligió anteriormente.

#!/bin/sh  
export RESTIC_REPOSITORY='rest:http://127.0.0.1:8000/'  
export RESTIC_PASSWORD='*PASSPHRASE*'        
restic backup / --exclude=/dev --exclude=/proc --exclude=/sys --exclude=/run --exclude=/tmp --exclude=/mnt --exclude=/root/.cache

Por favor, observe las exclusiones realizadas anteriormente: puede que desee cambiar los directorios que están excluidos de la copia de seguridad.

5.2 Ejecutar el script de copia de seguridad

Guarde el archivo y ejecútelo a través del terminal:

/usr/local/bin/backup-restic.sh

Después de unos segundos, debería ver cómo restic recorre sus archivos y también un porcentaje estimado de cuánto de la copia de seguridad se ha completado. ETA es una estimación aproximada de cuánto tiempo queda hasta la finalización en minutos y segundos. La primera copia de seguridad toma bastante tiempo, pero luego las copias de seguridad siguientes son rápidas, ya que solo se necesitan transferir los archivos que han cambiado o se han creado desde la última copia de seguridad.

Para que la copia de seguridad se ejecute regularmente, agregue una línea al crontab. Primero edite /etc/crontab con:

nano /etc/crontab

Luego agregue la programación para la copia de seguridad. Por ejemplo, si la copia de seguridad debe ejecutarse a las 02:00 de la madrugada cada día, agregue esta línea a /etc/crontab:

00 02           * * *   root    /usr/local/bin/backup-restic.sh

(Recuerde que cron opera en el formato mm:hh – es decir, minutos antes de horas.)

5.3 Probar que la restauración funciona

Un sistema de copia de seguridad nunca está completo hasta que se ha probado que las restauraciones funcionan bien. Usaremos el montaje fuse de restic para navegar a través de la última copia de seguridad. Escriba esto en el terminal, cambiando PASSPHRASE a la frase de contraseña de restic que eligió anteriormente:

mkdir /mnt/restic  
export RESTIC_REPOSITORY='rest:http://127.0.0.1:8000/'  
export RESTIC_PASSWORD='PASSPHRASE'  
restic mount /mnt/restic &  
cd /mnt/restic  
cd snapshots  
cd latest  
ls

Ahora podrá ver la última instantánea (la última copia de seguridad realizada). Puede comparar con diff que un archivo se ha respaldado correctamente, por ejemplo para /etc/fstab:

diff /mnt/restic/snapshots/latest/etc/fstab /etc/fstab

Si no obtiene salida de diff, los dos archivos son idénticos y la copia de seguridad ha funcionado para ese archivo. Si, por otro lado, ha cambiado el archivo desde la última copia de seguridad, verá qué líneas en los archivos difieren.

Finalmente, desmontaremos el montaje fuse de restic:

cd ~  
umount /mnt/restic/

5.4 Observaciones finales

Felicidades, si todo ha ido bien, ahora ha logrado configurar un sistema de copia de seguridad secundaria que tiene varias características robustas:

El sistema de copia de seguridad es fuera del sitio, lo que significa que protege los datos de accidentes que podrían ocurrir a la computadora de la cual se realizan las copias de seguridad.

También es solo de anexos, lo que significa que ningún virus o accidente en la computadora de la cual se realizan las copias de seguridad puede sobrescribir una copia de seguridad ya realizada anteriormente. La única forma de eliminar copias de seguridad es a través del inicio de sesión en la interfaz web de Wasabi, y por lo tanto debe proteger sus datos de inicio de sesión en la interfaz web de Wasabi. Preferiblemente, puede habilitar 2FA (autenticación de dos factores) para mayor seguridad.

Si habilita el trabajo cron, el sistema de copia de seguridad también es automático. Sin embargo, siempre recuerde probar las restauraciones regularmente para que pueda verificar que la copia de seguridad funciona.

Comparado con muchos otros servicios de almacenamiento en la nube en línea, usar Wasabi tiene la ventaja de transferencias rápidas a un precio competitivo.

Este sistema funciona bien para copias de seguridad secundarias, como un seguro adicional en caso de que el primer sistema de copia de seguridad falle por cualquier motivo. Finalmente, una ventaja importante es que se escala a cualquier tamaño que necesite - simplemente paga por GB de almacenamiento (aunque siempre tiene que pagar por un mínimo de 1 TB) y prácticamente no tiene ningún umbral para el espacio de almacenamiento máximo.