Commit b3c6f858 authored by Sébastien's avatar Sébastien

documentation sur l'installation

parent 91aae76a
......@@ -2,9 +2,80 @@
https://www.borgbackup.org/
## Prérequis
Le principe est d'utiliser Borg via une connexion SSH. Le serveur de sauvegarde
hébergera le serveur ssh et chaque serveur sauvegardé utilisera un compte ssh
dédié. Du coup, chaque serveur sauvegardé ne pourra pas accéder aux sauvegardes
des autres.
On va appeler **A** le serveur de sauvegarde et **B** le serveur a sauvegardé.
## Fortement conseillé
Il est fortement conseillé de mettre en place **fail2ban** afin
de temporiser les tentatives de brutes forces ssh.
## Prérequis
Il nous faut un serveur SSH sur lequel on va limiter les connexions, et on
va utiliser le groupe **can_ssh** pour regrouper les comptes de sauvegardes.
Les paquets nécessaires::
yum install openssh-server borgbackup
On créé le groupe dédié::
groupadd can_ssh
Et on modifie les lignes suivantes dans le fichier **/etc/ssh/sshd_config**::
PermitRootLogin without-password
AllowGroups can_ssh root
Match Group can_ssh
PermitTunnel no
AllowTcpForwarding no
X11Forwarding no
PubkeyAuthentication yes
PasswordAuthentication no
Il faut maintenant redémarrer notre service ssh::
systemctl restart sshd
## Finalisation
On va automatiser 2 tâches via la crontab du serveur a:
- avertissement_si_aucune_sauvegarde_recentes.sh: pour avoir une notification
par mail en cas de non sauvegarde
- suppression_vielles_sauvegardes.sh: pour supprimer les sauvegardes périmées
## Configuration d'un nouveau serveur
### Sur A
On crée un compte utilisateur pour le nouveau à sauvegarde::
./create_borg_user.sh b
Si besoin, on peut mettre le mail de la personne à prévenir en cas
d'absence de sauvegarde dans le fichier **/home/a/mail**.
### Sur B
On a besoin d'une cléf SSH pour la connexion ssh, pour cela on peut utiliser
la commande **ssh-keygen**. On va avoir besoin de copier le contenu du
fichier **/root/.ssh/id_rsa.pub** dans le fichier **/home/a/.ssh/authorized_keys**
du serveur **A**, précisemment il faut copier le contenu à la fin de la ligne
déjà présente. Le début de la ligne va permettre de limiter le compte à l'utilisation
de borg.
On va créer le shell script qui va lancer la sauvegarde::
cat /root/bin/sauvegarde.sh
#!/bin/bash
BORG_UNKNOWN_UNENCRYPTED_REPO_ACCESS_IS_OK=yes
# attention, remplacer bien b@a par LOGIN@VOTRE_SERVEUR_DE_SAUVEGARDE
/usr/bin/borg create --stats --exclude-caches -x b@a:backup/::{now:%Y-%m-%d} /
chmod u+x /root/bin/sauvegarde.sh
On va lancer le script à la main une première fois, cela nous permet de valider
son bon fonctionnement. On le mettra ensuite dans la crontab du serveur pour
automatiser son lancement.
Markdown is supported
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment