Sauvegardes en mode ajout uniquement avec borg vers un autre VPS ou serveur dédié

Ce tutoriel montrera comment sauvegarder les données sur un serveur, désigné comme le serveur principal, vers un autre hôte, ici nommé serveur de sauvegarde, avec le programme de sauvegarde gratuit Borg. Le serveur de sauvegarde sera configuré de telle manière que le serveur principal, dans un usage normal, ne pourra qu’ajouter de nouvelles données, et non supprimer ou modifier de anciennes sauvegardes. Cette fonctionnalité d’ajout uniquement, combinée au fait que les sauvegardes sont stockées sur un serveur séparé dans un emplacement distinct, rend les sauvegardes protégées contre la perte de données due, par exemple, à des accidents naturels ou à une attaque de hacker contre le serveur principal.

Les prérequis pour suivre ce guide sont d’utiliser Debian Stretch (9) ou Debian Buster (10) et d’avoir deux serveurs disponibles, un serveur principal à partir duquel les sauvegardes sont effectuées, et un autre serveur de sauvegarde où les archives de sauvegarde seront stockées. Ces deux serveurs devraient être situés dans des emplacements séparés pour une protection optimale.

Ce guide commencera par la configuration sur le serveur de sauvegarde dans la première section. Dans la deuxième section, nous configurerons le serveur principal, puis effectuerons une sauvegarde, un test de restauration et montrerons comment élaguer manuellement les anciennes archives de sauvegarde.

1 Configurer le serveur de sauvegarde

1.1 Installer borg et créer un nouvel utilisateur borgbackup

Sur le serveur de sauvegarde (le serveur où les sauvegardes doivent être stockées), installez Borg dans un terminal root avec cette commande :

apt install borgbackup

Ensuite, choisissez un mot de passe pour l’utilisateur borg que nous allons bientôt créer. (Il est obligatoire d’avoir un mot de passe pour chaque utilisateur, cependant, ce mot de passe sera presque jamais utilisé, car nous nous connecterons normalement au serveur de sauvegarde avec une clé SSH.) Si vous souhaitez générer un mot de passe aléatoire de 64 caractères, utilisez cette commande :

< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-64};echo;

Copiez le mot de passe pour l’utilisateur borg affiché dans le presse-papiers, et enregistrez-le dans un endroit sûr, ailleurs que sur le serveur lui-même.

Maintenant, nous allons créer l’utilisateur borgbackup :

adduser borgbackup

Lorsque vous recevez une question sur le mot de passe, collez le mot de passe que vous avez copié plus tôt, appuyez sur Entrée, puis collez à nouveau le mot de passe suivi d’Entrée. Ne remplissez rien d’autre, appuyez simplement sur Entrée pour répondre aux questions suivantes.

1.2 Générer des clés SSH pour l’utilisateur borgbackup

Nous devons maintenant devenir le nouvel utilisateur avec su :

su borgbackup  
cd

Ensuite, nous générons une nouvelle paire de clés SSH pour l’utilisateur :

ssh-keygen -t ed25519

Après avoir appuyé sur Entrée, vous obtiendrez une série de questions. Laissez les réponses vides, continuez simplement à appuyer sur Entrée plusieurs fois jusqu’à ce que la commande soit terminée. Ne définissez pas de phrase de passe pour la clé, appuyez également sur Entrée à cette question.

1.3 Créer le répertoire de sauvegarde

Maintenant, il est temps de créer le répertoire où les sauvegardes seront stockées, qui dans la terminologie borg est défini comme le répertoire borg. Nous allons simplement appeler le répertoire borgbackup, mais vous pourriez choisir de le nommer d’après le nom d’hôte de votre serveur principal.

cd  
mkdir borgbackup  
chmod go-rwx borgbackup  
chmod u+rwx borgbackup

2 Configurer le serveur principal et comment il se connecte au serveur de sauvegarde

2.1 Installer Borg

Nous passons maintenant de la configuration du serveur de sauvegarde à celle du serveur principal.

Sur le serveur principal (le serveur dont vous souhaitez effectuer des sauvegardes), installez Borg dans un terminal root avec cette commande :

apt install borgbackup

Plus tard, nous aurons besoin de l’adresse IP externe du serveur principal (celui sur lequel nous sommes). Veuillez copier cette adresse IP afin de l’avoir à portée de main. Si vous ne vous souvenez pas de l’adresse IP externe du serveur principal, exécutez cette commande pour l’afficher :

wget -qO- http://ipecho.net/plain | xargs echo

2.2 Autoriser le serveur principal à accéder au serveur de sauvegarde

Commandes que vous exécutez sur le serveur principal

Nous allons maintenant préparer l’authentification par clé SSH afin qu’il soit possible de se connecter depuis le serveur principal au serveur de sauvegarde. Tout d’abord, utilisez cette commande pour afficher la clé SSH publique de l’utilisateur root sur le serveur principal :

cat ~/.ssh/id_*.pub

Si vous avez une clé publique SSH pour root, vous devriez maintenant voir cette clé affichée. Copiez la clé dans votre presse-papiers, vous devrez la coller plus tard dans un fichier sur le serveur de sauvegarde.

Si vous ne voyez pas la clé affichée, vous devez générer la paire de clés. Par exemple, exécutez cette commande dans ce cas : ssh-keygen -t ed25519 suivi de plusieurs pressions sur Entrée.

Maintenant, nous devons dire au serveur de sauvegarde d’autoriser l’accès depuis le serveur principal (où nous sommes en ce moment) avec la clé SSH publique. Pour ce faire, entrez cette commande, mais d’abord remplacez BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde :

ssh-copy-id -i ~/.ssh/id_*.pub borgbackup@BACKUPHOSTNAME

Se connecter au serveur de sauvegarde

Vous devrez maintenant entrer le mot de passe pour l’utilisateur borgbackup que vous avez créé à l’étape 1.1. Une fois cela fait, il devrait être possible d’accéder directement au serveur de sauvegarde en tant qu’utilisateur borgbackup sans aucun mot de passe. Maintenant, testez que cela est possible en tapant cette commande, en remplaçant BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde :

ssh borgbackup@BACKUPHOSTNAME

Commandes que vous exécutez sur le serveur de sauvegarde

Nous allons maintenant renforcer la sécurité en restreignant l’accès uniquement à partir de l’adresse IP du serveur principal en utilisant cette clé.

Restez sur le serveur de sauvegarde et exécutez cette commande :

nano ~/.ssh/authorized_keys

Maintenant, vous devriez voir une longue ligne qui commence par ssh. Vérifiez que le curseur est au début du fichier. Ajoutez les données suivantes sur la même ligne, avant la clé ssh, mais veuillez d’abord remplacer SERVERIPADDRESS par l’adresse IP de votre serveur (que vous avez recherchée au début de cette section) :

from=