Différences

Ci-dessous, les différences entre deux révisions de la page.

--- backup:borg [2020/05/03 12:06] – [3/ Configuration "SSH" utilisateur] tonio
+++ backup:borg [2021/04/08 18:23] (Version actuelle) – jocelynd
@@ Ligne 1: / Ligne 1: @@
+<WRAP center round important 60%>
+Ce sont des notes généralistes concernant borg, ceci ne reflète pas le déploiement de borg chez faimaison. Si c'est ça que tu cherche, va sur [[:backup|]]
+</WRAP>
 Avant de commencer, voici quelques liens d'information:
-https://linuxfr.org/news/installer-borgbackup-sur-un-nas
-https://sebsauvage.net/wiki/doku.php?id=borgbackup
+  * https://connect.ed-diamond.com/Linux-Pratique/LP-098/Ne-procrastinez-plus-vos-sauvegardes-grace-a-Borg3
-https://jstaf.github.io/2018/03/12/backups-with-borg-rsync.html
+  * https://linuxfr.org/news/installer-borgbackup-sur-un-nas
+  * https://sebsauvage.net/wiki/doku.php?id=borgbackup
+  * https://jstaf.github.io/2018/03/12/backups-with-borg-rsync.html
 ===== Introduction : =====
@@ Ligne 28: / Ligne 35: @@
       * Si votre logiciel de backup fait de la dé-duplication, il verra que le contenu des fichiers est identique à des fichiers déjà sauvegardés, et ne les sauvegardera pas à nouveau (énorme gain de temps et de place).
     * Exemple de logiciel: [[https://www.borgbackup.org/|BorgBackup]], [[https://bup.github.io/|bup]], [[https://www.duplicati.com/|duplicati]]...
+<WRAP center round important 60%>
+Attention aux bases de données et autres applications consistantes"!
+Il faut faire un [[backup:bdd|export/dump des bases avant]].
+</WRAP>
 ===== Le serveur =====
-Il faut juste un OS avec du SSH et de l'espace disque
+Il faut juste un OS avec du SSH et de l'espace disque.
+Où sinon un espace NAS via le protocole NFS en local ou en configurant le SSH sur votre NAS!.
 ==== 1/ Création de l’utilisateur spécifique pour la sauvegarde ====
-<code bash>[dim. mai 03 11:04:52] root@rev-89-234-177-XXX:~# adduser borg
+<code bash>#  adduser borg
 Ajout de l'utilisateur « borg » ...
 Ajout du nouveau groupe « borg » (1001) ...
@@ Ligne 59: / Ligne 74: @@
 **Changer le propriétaire sur cet espace:**
-<code bash>[dim. mai 03 11:08:29] root@rev-89-234-177-134:~# chown -R borg:borg /backup1/interne/
+<code bash>#  chown -R borg:borg /backup1/interne/
 </code>
 ==== 3/ Configuration "SSH" utilisateur ====
 On verra cela après la configuration du CLIENT
 <code bash>
-borg-backup@nas:~$ cat .ssh/authorized_keys
+# cat .ssh/authorized_keys
-CLES SSH
+CLES SSH USER@HOSTNAME1
-command="/usr/local/bin/borg serve --restrict-to-path /volume1/NetBackup/chezmoi/",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user-rc
+CLES SSH USER@HOSTNAME2
-command="/usr/local/bin/borg serve --restrict-to-repository /volume1/NetBackup/copain/ --storage-quota 128G",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user-rc user@client2
+command="/usr/local/bin/borg serve --restrict-to-path /backup1/interne/HOSTNAME1/",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user-rc USER@HOSTNAME1
+command="/usr/local/bin/borg serve --restrict-to-repository /backup1/interne/HOSTNAME2/ --storage-quota 128G",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user-rc USER@HOSTNAME2
 </code>
 ==== Option: Changement de port SSH ====
@@ Ligne 76: / Ligne 92: @@
 ==== 1/ Préparation de l'environnement ====
-Vérification clés SSH de root:
+Vérification clés SSH de root, car souvent ROOT n'a pas de clés SSH:
-<code>[dim. mai 03 11:18:15] root@debian10-:/# ls -la ~/.ssh/
+<code bash>#  ls -la ~/.ssh/
 total 12
 drwx------ 2 root root 4096 févr.  1 19:25 .
@@ Ligne 83: / Ligne 99: @@
 -rw-r--r-- 1 root root  222 févr.  1 19:25 known_hosts
 </code>
-<code>[dim. mai 03 11:19:19] root@debian10-:/# ssh-keygen
+<code>#  ssh-keygen
 Generating public/private rsa key pair.
 Enter file in which to save the key (/root/.ssh/id_rsa):
@@ Ligne 105: / Ligne 121: @@
 +----[SHA256]-----+
 </code>
-<code>[dim. mai 03 11:19:32] root@debian10-:/# ls -la ~/.ssh/
+<code bash>#  ls -la ~/.ssh/
 total 20
 drwx------ 2 root root 4096 mai    3 11:19 .
@@ Ligne 116: / Ligne 132: @@
 **Échange de la clés SSH pour des connexions sans  mot de passe et donc automatiser les sauvegardes**
-<code>[dim. mai 03 11:22:19] root@debian10-:/# ssh-copy-id borg@backup.XXX.net
+<code># ssh-copy-id borg@backup.XXX.net
 </code>
-<code>/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
+<code bash>/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/root/.ssh/id_rsa.pub"
 The authenticity of host 'backup.XXX.net (89.234.177.134)' can't be established.
 ECDSA key fingerprint is SHA256:IGWLmEd9iwRSZubnKx14etFKnrgo07lJQ71n+ntzL80.
@@ Ligne 132: / Ligne 148: @@
 </code>
-<code>[dim. mai 03 11:25:56] root@debian10-:/# apt install borgbackup
+<code>#  apt install borgbackup
 </code>
-<code>Lecture des listes de paquets... Fait
+<code bash>Lecture des listes de paquets... Fait
 Construction de l'arbre des dépendances
 Lecture des informations d'état... Fait
@@ Ligne 181: / Ligne 197: @@
 === La "passphrase" pour sécuriser ses sauvegardes: ===
-<code console>[dim. mai 03 11:29:11] root@debian10-:/# echo "eEKHzuDeRTuT7gGZCL4Nb" > /root/.borg
+<code bash>#  echo "eEKHzuDeRTuT7gGZCL4Nb" > /root/.borg
 </code>
 === Initialisation des sauvegardes ===
-<code console>[dim. mai 03 11:32:48] root@debian10-:/# borg init -e repokey-blake2 ssh://borg@backup.XXX.net/backup1/interne/debian10-
+<code bash>#  borg init -e repokey-blake2 ssh://borg@backup.XXX.net/backup1/interne/debian10-
 </code>
 <code shell>Enter new passphrase:
@@ Ligne 209: / Ligne 225: @@
 === Vérification de la connexion au référentiel distant ===
-<code  shell>[dim. mai 03 11:45:06] root@debian10-:/# borg list ssh://borg@backup.XXX.net/backup1/interne/debian10-
+<code bash>#  borg list ssh://borg@backup.XXX.net/backup1/interne/debian10-
 Enter passphrase for key ssh://borg@backup.XXX.net/backup1/interne/debian10-:
 </code>
@@ Ligne 216: / Ligne 233: @@
 === Export de la clés pour réaliser les restaurations! ===
-<code shell>[dim. mai 03 11:44:20] root@debian10-:/# borg key export ssh://borg@backup.XXX.net/backup1/interne/debian10- /root/.borgBACKUP
+<code bash>#  borg key export ssh://borg@backup.XXX.net/backup1/interne/debian10- /root/.borgBACKUP
 </code>
-<code shell>[dim. mai 03 11:44:28] root@debian10-:/# cat /root/.borgBACKUP
+<code bash>#  cat /root/.borgBACKUP
 BORG_KEY 036622c1c92f41ac379766a1a1337fb489217af20d372d889a3a15fda57c689d
 hqlhbGdvcml0aG2mc2hhMjU2pGRhdGHaAZ4rSQBi1chYt7DgIVijhFu5/7j7mv9kL0fWQu
@@ Ligne 234: / Ligne 251: @@
 === Test de Sauvegarde (optionnel) ===
-<code>
+<code>borg create --progress --stats ssh://borg@backup.XXX.net/backup1/interne/debian10-::backup-test-tmp /tmp
+</code>
+<code>borg list ssh://borg@backup.XXX.net/backup1/interne/debian10-
 </code>
@@ Ligne 240: / Ligne 259: @@
 Je mets le script directement dans le CRON journalier:
-<code shell>[dim. mai 03 11:59:56] root@debian10-:/# vi /etc/cron.daily/borg
+<code bash>#  vi /etc/cron.daily/borg
 </code>
 __Voici le script__
@@ Ligne 257: / Ligne 276: @@
         $BORG_ARCHIVE \
 # Sauvegarde du système
-        /etc /var /data \
+        /etc /var \
 # Sauvegarde des données
         /home /data1  \
@@ Ligne 282: / Ligne 301: @@
 **Rendre le fichier exécutable :**
-<code shell>[dim. mai 03 12:00:23] root@debian10-:/# chmod +x /etc/cron.daily/borg
+<code bash># chmod +x /etc/cron.daily/borg
 </code>
 <code>
 </code>
+=== Voici le niveau de restriction qu'il faut pour contraindre BORG client au bon répertoire: ===
+<file bash ~borg/.ssh/authorized_keys>
+ssh-rsa XXXX root@debian10-
+ssh-rsa XXXX root@debian10--
+command="/usr/local/bin/borg serve --restrict-to-path /backup1/interne/HOSTNAME",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user-rc root@debian10-
+command="/usr/local/bin/borg serve --restrict-to-path /backup1/interne/HOSTNAME",no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,no-user-rc root@debian10--
+</file>