Forum Linux.général Copie de backup à travers WAN

Posté par . Licence CC by-sa
0
7
nov.
2015

J'administre deux serveurs :
- un pour des services web qui fonctionne avec proxmox (V3.4)
- un pour un service data de synchronisation de fichiers

Je réalise des backup des mes containers sous proxmox mais pour l'instant ces backups restent sur le serveur web. J'aimerais les copier automatiquement sur le serveur data.
J'avais pensé à un bête scp mais pour ça, soit j'ai besoin d'être là pour entrer le mot de passe de la machine data soit je peux utiliser une clé sans passphrase mais dans ce cas, en cas de compromission de mon serveur web, la clé sans passphrase permettra de compromettre mon serveur data.
rsync pose, je pense, le même problème.

J'ai trouvé le principe des jetons avec File-bucket par exemple mais si j'ai bien compris le transfert se fait en clair et on se retrouve donc aussi avec des problèmes de sécurité.

J'aimerais aussi éviter les usines à gaz.

Bref, comment faites-vous pour réaliser vos transfert WAN de backup de serveur à serveur ?

Merci

Matt

  • # backup de serveur à serveur ?

    Posté par . Évalué à 3.

    si tu crains une compromission du serveur proxmox qui permettrait un acces au serveur data,
    fait le backup dans l'autre sens.

    c'est le serveur DATA, qui va chercher les backup sur le serveur Proxmox.

    • [^] # Re: backup de serveur à serveur ?

      Posté par . Évalué à 1.

      J'y avais pensé mais ça ne résous pas vraiment le problème. En cas de compromission du serveur data, on peut atteindre le serveur web.

      • [^] # Re: backup de serveur à serveur ?

        Posté par . Évalué à 2.

        l'un est chez toi, l'autre est sur internet.

        le risque de compromission de la machine data, chez toi, est quand meme plus limité que celui du serveur web exposé à tous publics.

        • [^] # Re: backup de serveur à serveur ?

          Posté par . Évalué à 1.

          Non, les deux sont sur internet.

          • [^] # Re: backup de serveur à serveur ?

            Posté par . Évalué à 2.

            alors il te faut combiner les methodes de securité.

            1°) blinder les machines (parefeux, antirookit, analyse antiviral)
            2°) mettre les clefs sur un utilisateur autre que celui des sites webs
            3°) limiter les sessions aux quelques commandes necessaires aux backups

  • # Connexion SCP

    Posté par . Évalué à 1.

    Bonjour,

    Pour le problème de mot de passe avec SCP, tu peux faire un échange de clés ssh avec la commande suivante :

    http://www.ex0dus.fr/tuto-echange-de-cles-ssh-sous-linux/

    Ça permet de simplifier les copies via ssh… De plus, un autre truc, c'est rsync pour les sauvegardes incrémentales. Je ne sais pas si c'est adapté à ton cas, mais ça marche très bien et en plus c'est déclenchable à travers un cron.

    Bon courage !

    • [^] # Re: Connexion SCP

      Posté par . Évalué à 3.

      sauf que visiblement il ne veut pas d'une clef sans passphrase car

      en cas de compromission de mon serveur web, la clé sans passphrase permettra de compromettre mon serveur data.

  • # Franglish

    Posté par (page perso) . Évalué à 2.

    Il est important d'être précis : tu veux une sauvegarde de backup, ou plutôt un backup de sauvegarde ?
    Nan parce que ça change tout. C'est un peu comme mon grand-père, qui est le père de mon father. Et non le father de mon père.

  • # Restriction sur la clé

    Posté par (page perso) . Évalué à 4.

    Tu peux limiter l'utilisation de la clé ssh à une commande.
    Et tu peux mettre en place des choses comme rsnapshot, qui permettent d'avoir un historique des versions des fichiers sauvegardés (par exemple en cas d'effacement malencontreux).

    Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

    • [^] # Re: Restriction sur la clé

      Posté par . Évalué à 1.

      Intéressant, je vais regarder de ce côté.

      Merci

    • [^] # Re: Restriction sur la clé

      Posté par . Évalué à 1.

      D'après ce que j'ai trouvé, rssh semble un bon candidat.

      • [^] # Re: Restriction sur la clé

        Posté par . Évalué à 1.

        Tout compte fait rssh n'est pas un bon candidat car si j'ai bien compris il met des restrictions sur la machine source pas sur la machine cible. Donc si la machine source est compromise, on pourra certainement utilisé la clé pour atteindre la machine cible.

        Je vais plutôt utilisé la méthode décrite en 3ème réponse dans ce fil

        En bref, on peut mettre des restrictions sur les clés autorisées à contacter la machine ciblede cette façon-là par exemple :

        no-port-forwarding,no-X11-forwarding,no-agent-forwarding,no-pty,command="scp -v -r -d -t ~/CONTENT" ssh-rsa AAAAMYRSAKEY...

        dans le fichier authorized_keys de la machine cible et utiliser sur la machine source la commande suivante :

        scp -v -r -i .ssh/id_rsa_key_file path/to/data backup_user@machine_cible:~/backup

        en utilisant une clé privée sans passphrase qui ne servira qu'à ça.

        • [^] # Re: Restriction sur la clé

          Posté par . Évalué à 2.

          c'est ce qui t'etait proposé via les restrictions ssh,

          tu peux cibler un utilisateur, lui faire executer une seule commande.

          et plutot que scp, je choisirais rsync qui est plus tolerant au rupture de connexion et permettra de reprendre le transfert si tu relances le script.

          • [^] # Re: Restriction sur la clé

            Posté par . Évalué à 1.

            oui, bien sur mais j'ai passé pas mal de temps pour trouver des exemples dans le cas de scp. Et puis je me suis un peu égaré avec openssh et lsh.

            Bref, j'y vois maintenant un peu plus clair et en effet rsync est sans doute plus adapté.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.