Journal Sauvegarde pour ordinateur personnel légèrement avancé

Posté par . Licence CC by-sa.
16
8
avr.
2020

Sommaire

Hello Journal,

Tel le marronnier, voici le retour de la question sur les sauvegardes.

J’ai pas mal fureté sur le net (linuxfr entre autres) et j’ai surtout trouvé des réponses qui concernent les serveurs ou qui expliquent comment se passer du besoin exprimé. Je n’ai pas trouvé le saint graal (S’il existe).

Présentation

Je suis sous mint (pour ceux qui ne connaissent pas, c’est basé sur Ubuntu, pour ceux qui ne connaissent pas, c’est basé sur Debian, pour ceux qui ne connaissent pas, c’est basé sur Linux ;)). J’ai entièrement réinstallé mon ordi dernièrement et je voulais en profiter pour mettre en place une sauvegarde. J’ai essayé quelques trucs (dont le soft de sauvegarde de mint et dejadup/duplicity) mais ce na fonctionne pas comme je voudrais. J’ai donc défini quelques critères qui me semblent plus moins importants (certains plus que d’autres) et que je vais exposer ici.

Avant cela, un petit historique de ce que je fais sur mon ordi. Je suis développeur web/php simple. Pas de truc exotique, pas de choses complexes, je suis un petit joueur. Donc, Apache, PHP et mysql sont installés sur mon ordi. Pour découpler les choses, le DOCROOT de mon apache pointe vers un dossier /home/www. Idem pour le datadir de Mysql qui pointe vers /home/mysql. Je développe avec Sublimetext, pas de scripts qui tournent en tache de fond. Pas de vm, pas de docker, rien de tout ça. Pour tout ce qui est serveur hors dev (staging/preprod/pro), j’ai un tout petit kimsufi de ovh qui fait largement le boulot (pour le moment) et qui possède 2To de disque. Je bosse généralement à l’extérieur dans un espace de coworking et à part en ce moment, je ne lance plus trop mon ordi quand je suis chez moi. Chez moi, j’ai un nas Synology.

À part ça, je me sers de mon ordi de façon classique. J’entends par là : de la bureautique, un peu de retouche d’images et de photos, j’écoute de la musique. Bref, rien de particulier. Je voudrais donc sauvegarder certains de mes dossiers (dans ~/Documents principalement), mes fichiers de dev (/home/www) et mes bases (techniquement /home/mysql mais idéalement, je pense faire un backup avec automysqlbackup avant).

Besoins

1) Interface graphique

La ligne de commande et les interfaces ncurse, c’est sympa, mais franchement, je n’ai plus la foi. Je sais que c’est plus puissant, plus ceci, plus cela, mais je cherche plutôt une belle appli :)

2) Données cryptées

Je sais que je peux stocker sur un fs crypté, mais je n’en ai pas et pas prévu d’en monter un. Je veux pouvoir restaurer facilement avec un password.

3) Incremental/hardlink/deduplication

J’aimerais ne pas sauvegarder l’intégralité de mes données à chaque sauvegarde. Donc, de l’incrémental (façon bacula), du hardlink (facon BackInTime) ou de la déduplication (façon burp), histoire que mes sauvegardes ne durent pas trop longtemps, ne consomment pas trop de bande passante, ne mette pas mon ordi à genou.

4) Restauration facile

Sauvegarder, c’est bien. Restaurer, c’est mieux. Mon expérience avec DejaDup n’est pas très concluante. Au final, j’ai dû restaurer l’intégralité de ma sauvegarde pour ne reprendre que les documents qui m’intéressaient. Alors, je sais qu’il est possible de faire une ligne de commande pour restaurer uniquement un fichier ou un dossier. Encore faut-il savoir exactement dans quel chemin se trouve l’élément à restaurer. Idéalement, je voudrais pouvoir naviguer dans ma sauvegarde comme dans un explorateur de fichiers, cliquer sur les éléments que je souhaite restaurer et indiquer où je veux les restaurer. Indiquer mon mot de passe et Zou ! Pour info, quand j’ai voulu restaurer, Dejadup n’a pas retrouvé ses petits et j’ai dû lancer une resto avec duplicity en ligne de commande.

5) Anacron / exécution après boot

Avoir une tâche à heure précise, c’est pratique. On peut la planifier la nuit par exemple. Dans mon cas, quand je suis chez moi (cela inclue la nuit), mon ordinateur est généralement éteint. Donc, si je mets une tache planifiée, il est préférable que je la fasse le matin. Or, je suis régulièrement en déplacement (cela inclue le matin). DejaDup a son propre scheduler et ne repose pas sur Cron. L’idée semble intéressante mais comme dit plus haut, je ne suis pas fan de Dejadup pour le moment. J’ai vu qu’avec Anacron, on peut planifier une tache et qu’elle s’exécutera au prochain démarrage si l’heure de la tache est dépassée. Sur le principe, ça peut suffire mais s’il existe d’autres solutions, ça m’intéresse.

6) Scripts avant/après

J’ai des bases de données à sauvegarder. Donc, idéalement, j’aimerais avoir la possibilité de lancer un script avant la sauvegarde (backup des bases avec automysqlbackup ou autre) et après (suppression des fichiers de backup de bdd de mon disque)

7) Exécution en mode root ?

Je peux lancer mes sauvegardes avec mon compte pour sauvegarder tout ce qui concerne mes données user, mais je veux également sauvegarder tout ce qui est dans /home/www (propriétaire : www-data.www-data). Je fais partie du groupe wwww-data. J’imagine que ça doit suffire. Mais si je veux faire une sauvegarde de certains fichiers de conf de l’ordi (propriétaire root.root), ai-je besoin d’être root ?

8) Double sauvegarde

Quand tout est backup sur mon nas, je vais planifier une copie du dossier de backup vers mon kimsufi, avec une tache planifiée et un rsync ou avec syncthing. Donc, idéalement, pas de fs ou de techno exotique. Si mon nas plante, brûle, disparaît ou autre, je me connecte sur mon serveur, je rapatrie le dossier de backup et je restaure à partir de là.

9) Mises à jour

J’ai trouvé pas mal de solutions de sauvegardes, mais j’avoue que quand je tombe sur des git avec des fichiers pas touchés depuis 2013, ça ne me rassure pas sur la pérennité de l’outil et son développement actif.

Voila, si quelqu’un me lit et a des idées, je suis super preneur !

  • # Mon opinion

    Posté par (page perso) . Évalué à 10 (+10/-0).

    Plus des réflexions en vrac qu'autre chose :

    • un ordi peut être perdu du jour au lendemain, il ne faut pas compter pouvoir récupérer des données sur un disque abîmé
    • j'ai pris l'habitude de découper un ordinateur en trois :

      • les logiciels installés => on s'en moque, ça se télécharge
      • leur configuration => il faut être capable de le réinstaller de la façon la plus automatisée possible (via Ansible, par exemple) car sinon on oublie comment faire ou ce qu'il faut faire
      • les données => la seule chose à sauvegarder
    • la redondance n'est pas une sauvegarde

    • je distingue deux raisons pour une sauvegarde : le crash complet/la perte de la machine et vouloir récupérer un unique fichier perdu. Deux usages très différents, donc potentiellement deux solutions différentes

    • les ransomware existent => il faut une sauvegarde hors-ligne

    • les cambriolages et incendies => il faut une sauvegarde hors site (qui peut être en ligne)

    • on peut se rendre compte tardivement d'un problème => il faut des versions

    Point de vue logiciel :

    • sauvegarde hors-ligne / crash complet => TimeMachine (mais en vrai, je préfère reconstruire la configuration que réinstaller une sauvegarde)
    • sauvegarde hors-ligne bis => rsync en local sur un disque externe
    • unique fichier perdu => git (pour le code) ou iCloud (il y a une fonction de restauration) — sachant que tous mes documents autre que du code sont stockés dans des images disque chiffrées thématiques
    • sauvegarde hors-site et journalisation : restic sur du stockage Cloud (triplé)
    • tout mon code est dans git (chez GitHub)
    • la configuration est via des scripts Ansible (stockés via git)
    • [^] # Re: Mon opinion

      Posté par . Évalué à 3 (+3/-0).

      Comme toi, je préfère réinstaller au propre en cas de problème. Je ne veux surtout pas faire de sauvegarde système complète. Lors de ma réinstallation récente, j'ai tout documenté et quasiment tout scripté. Un simple bash me suffit car je n'ai pas beaucoup de modifications à apporter à un système propre. Mon script se limite à quelques commandes apt, des echo, qq sed et c'est à peu près tout. Les 3/4 opérations restantes, je les fais manuellement.

      Effectivement, restaurer un fichier peut être nécessaire mais c'est surtout remettre en place mon environnement de travail qui m'importe. J'utilise également Git pour certains projets mais ça ne sauvegarde pas les bases de données et ne convient pas à mes fichiers perso. Je cherche une solution globale de sauvegarde/restauration.

      Le disque local, je sais que je ne serai pas suffisamment discipliné pour le faire et quand je voudrai le faire, je n'aurai pas le disque sous la main. Le nas est plus souple et je peux facilement dupliquer les sauvegardes vers mon kimsufi. Ca me fait 2 point de sauvegardes indépendants. pour mon besoin, cela me semble largement suffisant.

      • [^] # Re: Mon opinion

        Posté par (page perso) . Évalué à 7 (+5/-0).

        Faut que la sauvegarde soit simple pour être utilisée.

        J'ai un serveur à la maison, avec un disque externe branché mais physiquement éteint (via un interrupteur).
        La seule chose à faire pour déclencher une nouvelle sauvegarde hors-ligne est d'appuyer sur l'interrupteur.
        Quand la sauvegarde est achevée, j'ai un retour vocal qui me demande de débrancher.

  • # Seafile (ou autre outil de synchronisation de fichiers)

    Posté par (page perso) . Évalué à 5 (+4/-0).

    Ayant déjà un serveur Seafile, et l'utilisant pas mal, j'ai fini par mettre tous les fichiers de mon /home dans différentes bibliothèques seafile, en fonction de si elles servaient à faire du travail collaboratif ou si c'est juste des fichiers perso…

    Ça n'est pas forcément top pour des configs de logiciels, mais pour des fichiers perso, pas besoin de programmer des sauvegardes, les synchro se font à chaque modification ou dès le retour d'une connexion internet. On peut chiffrer facilement les données sur le serveur, il y a une interface graphique…

    Et en fait c'est très pratique d'accéder occasionnellement à ses fichiers via l'interface web du serveur, quand on n'a pas accès à son pc.

    Pour la restauration, suffit de lancer son client, et de dire où remettre les bibliothèques…

    Ça ne réponds pas exactement à ton besoin… mais vu que seafile synchronise dès qu'il y a une modif, ajouter quelques scripts qui vont copier quelques fichiers dans une bibliothèque au bon moment, et hop c'est envoyé sur le serveur, ça pourrait être un bon complément…

    (sinon, côté serveur, j'utilise borg, mais en ligne de commande)

    • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

      Posté par . Évalué à 5 (+3/-0).

      Une syncro n'est pas une sauvegarde. En aucun cas.

      • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

        Posté par . Évalué à 2 (+2/-0).

        Tu peux détailler stp ?

        • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

          Posté par (page perso) . Évalué à 4 (+2/-0).

          Si tu as un ransomware, ça va chiffrer partout.

          • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

            Posté par . Évalué à 1 (+1/-0).

            ok, je comprends. Je me dis qu'étant donné le volume de data que j'ai, je peux envisager de garder un backup datant de la semaine précédente sur mon nas ou sur mon serveur distant. ca me parait improbable qu'ils soient infectés également.

            • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

              Posté par (page perso) . Évalué à 4 (+2/-0).

              2 choses :
              - la synchro est automatique, donc le chiffrement va se propager automatiquement
              - d'un point de vue plus théorique, tu as toujours un risque dès qu'il y a une connexion entre les deux.

              Mais bon, ce sont tes données :)

              De mon côté, je n'ai presque rien à faire : quand je branche mon ordi à l'écran le week-end, j'a un popup pour déchiffrer le disque externe (je ne veux pas le stocker sur l'ordi)… et c'est tout, le reste est automatique.

              • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

                Posté par (page perso) . Évalué à 1 (+0/-0). Dernière modification le 08/04/20 à 22:28.

                Seafile, c'est de la synchro versionnée… donc tu as toujours la version d'avant disponible dans l'historique.

                (c'est du git modifié qui fait des commit automatique)

                J'avais oublié de préciser cela dans mon commentaire précédent, c'est pourtant ce qui fait que j'ai confiance dans cette solutions.

                • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

                  Posté par (page perso) . Évalué à 4 (+3/-1). Dernière modification le 08/04/20 à 23:23.

                  Oui, mais il suffit d'avoir un malware un peu taquin qui connaisse Seafile et qui supprime les versions précédentes.
                  Peu probable mais loin d'être impossible, d'autant que Seafile est quand même connu et que les ransomware sont de plus en plus industrialisés et puissants.
                  Le disque dur débranché est la seule solution fiable pour ça (rien ne vaut les garanties physiques ! ). Mais après, c'est une analyse de risque : il y a un événement redouté (la perte des fichiers), une menace (le ransomware), une probabilité que ça arrive et le risque qui en découle. C'est à chacun de trouver son compromis et de savoir quel risque il faut accepter.

          • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

            Posté par . Évalué à 7 (+5/-0). Dernière modification le 08/04/20 à 20:57.

            ou, plus vicieux car on s'en aperçoit moins vite : un fichier vérolé, un mauvais copier-coller couper-coller sous Libre Office qui supprime une partie d'un document sans qu'on s'en rende compte, etc…

            Bref, une sauvegarde c'est quelque chose qui permet de remonter le temps (plus ou moins longtemps, plus ou moins finement). Une synchro répond à d'autres besoins. L'une ne remplace pas l'autre et vice versa.

            J'ai payé pour le savoir.

            Pour ma part, j'utilise borg pour un backup local (sur un autre disque) puis rclone pour mettre ce backup sur un cloud. Le projet Vorta apporte une GUI à borg mais je ne suis pas fan et je ne l'utilise pas.

            • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

              Posté par . Évalué à 1 (+1/-0).

              Perso, je cherche juste à remettre ma machine en ordre de fonctionnement le plus rapidement possible en cas de crash disque, de changement d'ordi ou de distribution. Je n'ai pas de données qui nécessite un gros versionning. Si je perds tout, alea jacta est.

              Mes projets de dev sont soit sur git, soit sur mon serveur, soit sur le serveur du client. Mes photos sont pour le moment sur google photo (c'est mal mais j'y travaille). Mes mails sont sur mon serveur kimsufi. Éventuellement qq documents à récupérer mais rien que je ne puisse recréer.

              Je cherche plus une solution pour gagner du temps et de l’énergie que vraiment pour me sauver la vie.

      • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

        Posté par . Évalué à 2 (+0/-0).

        Personnellement, je synchronise mes données avec mon serveur via nextcloud, et je fais des backups de mon serveur.

    • [^] # Re: Seafile (ou autre outil de synchronisation de fichiers)

      Posté par . Évalué à 2 (+2/-0). Dernière modification le 08/04/20 à 20:20.

      Je vais regarder. Je peux peut-etre envisager de faire une sauvegarde vers mon kimsufi et de la, faire une synchro vers mon nas via syncthing par ex.

  • # Rsbackup

    Posté par . Évalué à 5 (+5/-0). Dernière modification le 08/04/20 à 19:54.

    Après avoir passé un peu de temps sur ces questions, j'en étais arrivé à une solution basée sur rsync et cron.

    Après avoir perdu du temps autour de plusieurs projets, je suis tombé sur rsbackup.

    Un projet à jour, développé, simple, bien foutu, et dispo de base sur ta debian. Il y a aussi directement les .deb sur le site si tu veux la dernière version (possibilité de backup horaire).

    Ça peut faire une sauvegarde à l'endroit que tu veux, en incrémental (avec des hard links) basé sur rsync. Évidemment, ça gère aussi une rotation des sauvegardes, et tout ce qu'on peut attendre. En bonus, tu peux avoir un rapport html.

    Un fichier de config définit le tout, de façon assez lisible je trouve.

    Bref, essayé et adopté :) Au boulot, j'ai une sauvegarde horaire de mon système, avec un mois d'historique. De quoi flinguer mon disque en toute quiétude.

    • [^] # Re: Rsbackup

      Posté par . Évalué à 5 (+3/-0).

      J'ai utilisé un temps Back in Time. Ca doit être assez similaire à rsbackup car c'est basé sur rsync et des hard links pour gérer l'aspect incrémental. Il y a une GUI bien fichue (avec une version Gnome et une version Qt). On peut explorer de façon intuitive le système de fichiers dans le passé. C'est vraiment un très bon logiciel. Un bémol toutefois, il ne chiffre pas.

      En fait j'ai changé de solution (borg + rclone) pour la raison suivante : je voulais être totalement indépendant de l'organisation de mon système de fichiers. Il m'est arrivé de renommer des fichiers en masse (photos par exemple) ou de les organiser différemment dans mes dossiers. Les solutions basées sur rsync et les hard links ne sont pas efficaces dans ce cas de figure car elles ne "reconnaissent" pas les fichiers s'ils ont été renommés ou changés d'endroit et ça conduit à des incréments qui peuvent être très grands inutilement. Avec une solution de déduplication, ce problème ne se pose pas.

  • # BackupPC ?

    Posté par . Évalué à 6 (+5/-0). Dernière modification le 08/04/20 à 20:04.

    Pour l'avoir exploité sur un serveur, sa souplesse et son potentiel est énorme, à tel point que je me dis qu'il doit quand même être utile sur un desktop. Mais attention ! Logiciel complexe à configurer et à comprendre (j'en ai passé du temps à le configurer).
    Gère tout type de réseau (y compris SMB de Windows), et les types de sauvegardes (comme rsync, incrémentiel ou complète). Gère les âges des sauvegardes par exemple (ce qui permet de libérer de la place sur l'espace de sauvegarde si on a fixé un certain âge). Il y en a tellement des points à évoquer.

    • [^] # Re: BackupPC ?

      Posté par (page perso) . Évalué à 1 (+0/-0).

      Je l'utilise au boulot pour le backup du parc PC utilisateurs, les bases mysql avec du pre-exec, de la base Oracle avec du pre-exec le tout en rsync sur ssh. Il y a quelques notions qui demande de se racler le fond de la soupière mais rien d'insurmontable.

      Tu a une interface web pour parcourir tes sauvegardes et restaurer le ou les fichiers que tu a besoin. Côté serveur cela nécessite perl et apache une version spécifique de rsync modifié par l'équipe de backuppc.

      Le truc qui pourrait t'intéresser est de mettre la plage de backup sur toute la journée et lorsque backuppc "détecte" la présence de ton pc alors il lance les jobs de sauvegarde.

      Born to Kill EndUser !

      • [^] # Re: BackupPC ?

        Posté par . Évalué à 1 (+0/-0).

        Oui il fait tout ça, synchronisation avec le PC (je l'avais choisi aussi pour ça, ça synchronisait avec le portable de mon patron qui est sous Windows).
        Envoie par mails de rapports de logs ou des alertes.

    • [^] # Re: BackupPC ?

      Posté par . Évalué à 1 (+0/-0).

      Je confirme ! vraiment au poil !

  • # Borg

    Posté par . Évalué à 7 (+6/-0).

    Rsync + Grsync:

    • interface graphique compréhensible et efficace
    • incrémental
    • bonne intégration avec ssh pour sauvegarder sur une serveur
    • système de stockage simple: on reproduit le système de fichiers

    Borg + Vorta:

    • incrémental
    • versions + pruning
    • sommes de contrôle et chiffrement (clé ou mot de passe)
    • système de stockage interne, du coup il n'est pas limité par les capacités du fs où l'on stocke (taille des fichiers, gestion des attributs, nommage des fichiers, etc).
    • le GUI n'est pas dans les dépôt, j'ai pas testé
    • le projet semble porter une attention particulières aux tests et à la rétro-compatibilité
    • [^] # Re: Borg

      Posté par (page perso) . Évalué à 2 (+0/-0).

      Merci pour la suggestion Borg + Vorta.

      Je vais tester de ce pas, je ne connaissais pas mais ça me semble très intéressant pour remplacer DejaDup envers lequel j'ai une confiance limitée (je l'utilise, jamais eu besoin de restaurer mais il me semble beaucoup moins souple).

      • [^] # Re: Borg

        Posté par (page perso) . Évalué à 3 (+1/-0).

        ce n'est pas une bonne idée de ne pas restaurer (au moins une fois ! ) une sauvegarde.
        On a souvent de mauvaises expériences…

  • # restic

    Posté par . Évalué à 3 (+1/-0).

    J'aime bien restic que j'utilise à la fois en local sur une machine de backup que sur une stockage s3 distant.

  • # Duplicati

    Posté par . Évalué à 5 (+5/-0).

    Bonjour, je pense que j'ai des besoins de sauvegarde similaires. J'utilise depuis quelques années Duplicati. Il y a une interface graphique pour l'utiliser (web), ça fait de la déduplication, de la sauvegarde incrémentielle, ça peut chiffrer, et j'ai déjà pu restaurer seulement un (ou quelques) fichier(s) choisi(s) après avoir parcouru l'arborescence de la sauvegarde à une date antérieure (j'ai plusieurs versions).
    La tâche se lance toute seule chaque jour, dans mon cas la destination est un NAS à domicile.
    Je ne l'utilise pas mais il est possible de prévoir des scripts, avant, après, pendant, en cas d'erreur, de succès.
    Voici le lien vers le site de ce logiciel : https://www.duplicati.com/
    Bonne journée :)

    • [^] # Re: Duplicati

      Posté par . Évalué à 1 (+1/-0).

      Ce qui me gene avec les interfaces web, c'est qu'il faut commencer pas configurer un serveur web. À moins que duplicati n'ai son propre serveur. Mais dans ce cas, ca fait un nouveau serveur qui tourne en tache de fond.

  • # Ransomware

    Posté par . Évalué à 2 (+1/-0).

    pour être à l'abri des ransomware, je pense qu'il faut à minima :

    • du versioning pour retrouver une version non altérée par le ransomware

    • ET que le ransomware n'ait aucun moyen d'accéder aux sauvegardes, donc que logiciel de sauvegarde tourne sur une machine autre que celle qui contient les données à sauvegarder (il y a danger avec un disque externe usb/esata, même avec un interrupteur…)

    le serveur de sauvegarde (spécialisé et très bien sécurisé) doit venir chercher (par le réseau) les données "vivantes" des machines de travail (clients ou serveurs de fichiers/bdd)

    il y a aussi danger, si le serveur de sauvegarde est administré à distance, il est plus sûr d'avoir une console physique (clavier/écran) sur le serveur pour l'administrer (ou restaurer des fichiers)

    correct ?

    j'ai l'impression que BackupPC peut fonctionner de cette manière (quels protocoles réseau supportés ?)

    quid des autres logiciels cités ?

    • seafile

    • borg

    • restic

    • duplicati

    Envoyé depuis mon Archlinux

    • [^] # Re: Ransomware

      Posté par . Évalué à 3 (+1/-0).

      borg peut fonctionner comme ça.

    • [^] # Re: Ransomware

      Posté par . Évalué à 1 (+1/-0).

      Concernant Duplicati, le risque que la sauvegarde soit chiffrée par un ransomware dépend du type de destination et du lien entre le service de sauvegarde (sur la source, mon PC dans mon cas et la destination.

      Dans mon cas la destination est un NAS auquel le service duplicati accède en SFTP. L'accès se fait par le service duplicati au moment de la sauvegarde. Donc je ne pense pas que le risque de voir ma sauvegarde chiffré soit important. Bien entendu il y a un risque d'envoyer des données chiffrées, mais avec le système de versions antérieures ce n'est pas trop grave, on peut revenir en arrière.

      Par contre, je confirme que le risque évoqué existe. J'ai vu le mois dernier chez un client un serveur de sauvegarde (environnement Windows, certains serveurs non mis à jour ou sous des versions obsolètes de Windows, logiciel de sauvegarde Veeam Backup) partiellement chiffré, et surtout les sauvegardes corrompues.

    • [^] # Re: Ransomware

      Posté par . Évalué à 2 (+0/-0).

      Pour ma part je backup sur un stockage s3 chez wasabi avec restic.

      • le chiffrement est effectué par restic.
      • le versionning est activé côté wasabi

      La clé api utilisée permet d'écrire sur le bucket s3 mais n'a aucun droit admin sur le bucket et n'a donc pas accès aux snapshots wasabi.

      Je pense donc que cette solution me protège d'un ransomware sur la machine pourvu que je ne perde pas accès à au moins une version de mon fichier keepass pour avoir ce compte admin (mais j'ai une version sur un stockage sur le réseau de mon employeur).

  • # Quant à moi

    Posté par . Évalué à 3 (+2/-0).

    -Je fais une image complète du hdd système sur un hdd externe avec redo backup une fois par mois.

    -Je fais une sauvegarde hebdomadaire du système avec Timeshift

    -Je sauvegarde manuellement mes données sur un hdd externe (8 Tb) et copie ce hdd externe une fois par semaine sur un autre hdd externe (8Tb) que je mets chez mon frère.

    -- arnaud

    • [^] # Re: Quant à moi

      Posté par . Évalué à 2 (+2/-0).

      Merci pour ton commentaire mais pour le coup, c'est justement totalement à l'opposé de ce que je cherche. Faire des backups complets du disque, c'est, dans mon cas, totalement contre productif. Devoir gérer un disque dur externe, je ne suis carrément pas assez discipliné pour cela :-)

      • [^] # Re: Quant à moi

        Posté par . Évalué à 1 (+0/-0). Dernière modification le 10/04/20 à 10:55.

        Faire des backups complets du disque, c'est, dans mon cas, totalement contre productif.

        Juste du disque où est le système, comme a en qqs minutes je peux restaurer une image.

        Les données je copie tout à la main en triant dans des dossiers/sous-dossiers etc. Ce qui me permet d'avoir tte ma musique, photo, docs soigneusement rangés depuis des années. C'est une astreinte (je le fais une fois par semaine ou mois) mais au moins tout est bien trié. J'avais essayé borg et vorta et duplicati aussi mais comme mes docs, photos etc. n'étaient pas bien triées au départ cela sauvegardait certes mais ensuite pour retrouver c'est galère.

        -- arnaud

  • # Quant à moi

    Posté par . Évalué à 2 (+0/-0).

    Pour mes fichiers

    J'ai un owncloud qui synchronise en permanence mes documents.
    Et un backup "rsync+ssh" du owncloud avec rotation journalière (7 jours) et hebdomadaire (3 semaines).
    Cela me met à l'abri des ransonwares, du feu, de l'erreur humaine.

    Pour mon code

    Soit comme les fichiers, soit avec git.

    Pour mes photos

    Seulement une sauvegarde

    Pour mes mail

    Offlineimap sur le serveur de sauvegarde

    • [^] # Re: Quant à moi

      Posté par . Évalué à 1 (+0/-1).

      Et un backup "rsync+ssh" du owncloud avec rotation journalière (7 jours) et hebdomadaire (3 semaines).

      Certains ransonware modernes mettent plus d'un an avant de s'activer, histoire d'être présent dans les sauvegardes et empêcher toute possibilité de restauration.

      Opera le fait depuis 10 ans.

      • [^] # Re: Quant à moi

        Posté par (page perso) . Évalué à 3 (+0/-0).

        J'ai un gros doute car le risque de se faire détecter est très grand. As-tu des sources ?

        Pour que ce soit efficace, il faut que l'attaquant chiffre les données avant la sauvegarde, puis chiffre les données après. Il faut pour cela connaître l'heure et la durée de sauvegarde, on est là sur un logiciel super évolué ou une attaque manuelle.
        Tant que les données ne sont pas chiffrées sur la sauvegarde de la veille ou l'avant veille, la restauration ne pose pas plus de problème que d'habitude.

        • [^] # Re: Quant à moi

          Posté par . Évalué à 2 (+0/-0). Dernière modification le 26/04/20 à 00:08.

          J'ai un gros doute car le risque de se faire détecter est très grand. As-tu des sources ?

          J'ai vu passer ca y a quelques mois, j'ai plus la source sous le coude.

          Pour que ce soit efficace, il faut que l'attaquant chiffre les données avant la sauvegarde, puis chiffre les données après. Il faut pour cela connaître l'heure et la durée de sauvegarde, on est là sur un logiciel super évolué ou une attaque manuelle.

          Bah non, tu balances le ransonware qui infecte le SI sans s'activer, donc il passe inaperçu, personne ne sait qu'il est là. Les backups sont faites pendant un an avec le ransonware dormant, donc à moins de remonter loin dans le temps, même si les données sont en claires, le malware est présent.
          Le jour de l'attaque, le ransonware s'active et chiffre toutes les données, avec demande de rançon. La DSI qui a évidement prévus les backups les restaure, sauf que les systèmes/données restaurés sont à nouveau chiffrés. Du coup, à moins de remonter sur des sauvegardes qui ont plus d'un an, tu te retrouves avec des systèmes infectés qui se rechiffrent à chaque fois que tu les restaures.

          Tu me diras au moment où tu récupères les données, elles sont pas chiffrées donc c'est bon. Sauf que faut quand même des serveurs qui fonctionnent pour ca, et qui chiffrent pas les données dès qu'elles sont montées dessus. Donc à moins de partir d'un SI vierge et totalement réinstallé, c'est mort pour faire une restauration.
          En plus, en ne restaurant que les données, tu ne sais pas forcément sous quelle forme se présente le ransonware, donc si il est présent dans les données, tu risques de l'activer en les manipulant.

          Opera le fait depuis 10 ans.

          • [^] # Re: Quant à moi

            Posté par (page perso) . Évalué à 4 (+1/-0).

            La DSI qui a évidement prévus les backups les restaure, sauf que les systèmes/données restaurés sont à nouveau chiffrés

            Je n'ai pas encore eu de problème à restaurer des systèmes dont la sauvegarde est vérolée, je ne suis pas stupide au point de laisser le logiciel malveillant en place.
            Sous Windows c'est relativement trivial (sur les autres systèmes je n'ai jamais eu). Ça prends du temps, mais lorsque le système est complexe c'est plus rapide que de faire appel à 3 éditeurs qui doivent réinstaller leurs logiciels.
            Lorsque c'est un bête contrôleur de domaine ou serveur de fichiers, réinstallation puis restauration des données (c'est plus court que de vérifier si le logiciel malveillant est bien parti). Zéro problème.

            Les concepteurs de ces logiciels s'attaquent aux systèmes mal protégés, il y en a des tonnes. Pour le moment leurs logiciels sont basiques, ils n'ont qu'un faible intérêt à passer du temps à les rendre résistants. Du coup ils sont super faciles à virer une fois qu'on sait ce qu'on cherche.
            Peut-être qu'à l'avenir ce sera une autre histoire. Mais pour le moment c'est trivial à nettoyer.

             

            en ne restaurant que les données, tu ne sais pas forcément sous quelle forme se présente le ransonware, donc si il est présent dans les données, tu risques de l'activer en les manipulant.

            Non. Juste non.
            Tu as peut-être un problème de séparation des privilèges (aka je lance tout et n'importe quoi en administrateur). Et surtout un problème d'anti-virus car ils protègent de ça depuis pas mal de temps : à partir d'un certain nombre de fichiers modifiés à la suite, le processus est bloqué.

  • # surtout pas

    Posté par . Évalué à 4 (+3/-1).

    Données cryptées

    Si tu "cryptes" des backups, ça va être galère pour les restaurer. Il vaudrait mieux les CHIFFRER !!

    • [^] # Re: surtout pas

      Posté par . Évalué à 2 (+2/-0).

      J'avoue que mes connaissances ne me permettent pas de faire la différence. Certes, chaque fois que je la lis, je me dis "ha bah oui". Les mots sont importants mais j'avoue que pour le coup, je n'y attribue pas suffisamment d'importance. J'imagine que c'est un anglicisme qui vient de "to encrypt".

      Quand on n'entendra plus les gens dire que "mon logiciel fonctionne sur pc et sur mac" mais qu'il n'y a pas de version linux parce que pour eux, pc = windows, promis, je ferai plus attention ;)

  • # BackupPC + (cron +rsync) + manuel

    Posté par . Évalué à 1 (+0/-0).

    Au bureau on utilise un système triple :

    BacupPC

    Comme cela a été dit, BackupPC est très performant. Nous faisons une sauvegarde incrémentielle à 10 niveaux étalés sur un mois, pilotée par un Raspberry Pi avec disque USB.
    Le seul défaut du logiciel est la complexité du paramétrage initial, faute à une documentation un peu difficile à comprendre (ça c'est peut être amélioré depuis, mais lorsque je l'ai installé, la documentation traitait encore de la version précédente du programme).

    rsync + cron interne

    Deux fois par jour et automatiquement (cron), sauvegarde par synchronisation (rsync) sur un deuxième disque interne dans le serveur

    rsync + cron distant

    Une fois par jour et automatiquement, sauvegarde par synchronisation sur un serveur SSH situé sur un autre site.

    Pour mon ordi perso, c'est un peu plus primitif : sauvegarde quotidienne sur un disque externe par synchronisation (rsync), et copie sur un 2ème disque une fois par mois environ.

  • # kopia

    Posté par . Évalué à 3 (+1/-0).

    J'utilise borg, avec la deduplication c'est incroyable d'efficacité, il est très bien optimisé je le lance en cron 2x par jour et je conserve des mois. Par contre il ne permet pas d'envoyer sur du stockage objet (pub: 75go gratuit chez scaleway), donc il faut une zone tampon et rclone.

    Restic permet d'envoyer sur du stockage objet mais ne gère pas la compression et l'auteur semble n'avoir plus trop le temps de s'en occuper.

    Un petit nouveau qui à l'air très actif c'est kopia, deduplication, compression, ui facultative, stockage objet…

    https://github.com/kopia/kopia

    J'avais fais des tests, c'était beaucoup plus lent que borg sur l'envoi en réseau mais je n'ai pas regardé de plus près, surement un cache moins efficace ou une mauvaise config de ma part.

    Y a un autre truc que j'avais testé et qui était redoutable c'est zpaq, mais plus vraiment maintenu. Dommage qu'il n'ait pas été repris.
    http://mattmahoney.net/dc/zpaq.html

    • [^] # Re: kopia

      Posté par . Évalué à 2 (+0/-0).

      restic fait du chiffrement, donc il compresse toujours un peu en conséquence même si c'est moins efficace que du lzma, gzip ou bz2.

      • [^] # Re: kopia

        Posté par . Évalué à 2 (+0/-0).

        Tu parles de deduplication plutôt non ?
        J'ai essayé, c'est quand même pas du tout pareil que borg… Ca doit dépendre des données aussi.

        • [^] # Re: kopia

          Posté par . Évalué à 0 (+0/-2).

          non le simple fait de chiffrer a tendance à compresser un peu. Mais ça reste assez marginal on est d'accord.

          • [^] # Re: kopia

            Posté par (page perso) . Évalué à 4 (+1/-0). Dernière modification le 11/04/20 à 20:34.

            le simple fait de chiffrer a tendance à compresser un peu

            Tu en dis trop ou pas assez, parce que je n'ai jamais entendu parler d'un chiffrement qui tienne moins de place que l'original.

            De ce que je connais, dans le meilleur des cas la sortie fait exactement la même taille que l'entrée.
            Ensuite pas mal d'algos ont une taille de bloc qui fait qu'on a forcément en sortie un multiple de par exemple 16 octets, du coup on a en sortie en moyenne 8 octets supplémentaires. Et souvent il y a des métadonnées décrivant la taille de bloc, de clef, etc.

            • [^] # Re: kopia

              Posté par (page perso) . Évalué à 2 (+0/-0).

              Accessoirement, des données bien chiffrées doivent ressembler à de l’aléatoire pur, donc seront plus difficiles à compresser que des données structurées.

              • [^] # Re: kopia

                Posté par . Évalué à 3 (+1/-0). Dernière modification le 12/04/20 à 11:27.

                Oui, c'est le problème du coup qui fait qu'avec restic par exemple une fois les données chiffrées on ne peut plus les compresser. Il faut bien que la compression se fasse en amont.

            • [^] # Re: kopia

              Posté par (page perso) . Évalué à 2 (+0/-0). Dernière modification le 11/04/20 à 20:56.

              (Message en double)

    • [^] # Re: kopia

      Posté par . Évalué à 3 (+1/-0).

      borg peut faire du stockage objet sur tout serveur supportant une instance de borg. Sinon il y a borgbase.com via le logiciel vorta. Ce n'est pas beaucoup plus cher que wasabi (le cloud que j'utilise), surtout en dessous de 1To (le minimum chez wasabi). Je n'ai pas essayé donc je ne sais pas ce que ça vaut.

      • [^] # Re: kopia

        Posté par . Évalué à 2 (+0/-0).

        Je ne connaissais pas. Y a Hetzner aussi, c'est là où j'ai découvert borg.

      • [^] # Re: kopia

        Posté par . Évalué à 1 (+1/-0).

        J'ai testé Borg + Vorta mais sincèrement, ce n'est pas prêt.

        Pour commencer, pour avoir une sauvegarde efficace, il est conseillé d'installer borg sur le serveur. Ce n'est pas rédhibitoire mais il faut le savoir.

        Vorta n'est pas utilisable sereinement. Je passe sur le segfault quand on quitte ou la taille de la fenêtre de l'application ridiculement petite à l'ouverture. Oui, ça finit par fonctionner mais j'ai surtout eu des problèmes pour restaurer correctement des fichiers. Je n'ai pas trop creusé mais si je choisis un fichier présent à la racine de ma sauvegarde, ça restaure l'ensemble de la sauvegarde.

        Ce qui me dérange finalement le plus avec borg, en dehors des petits soucis liés à la GUI, c'est qu'il n'y a pas de version windows. Certes, en tant qu'utilisateur linux, ce n'est pas un problème pour moi mais dans le cadre d'un environnement mixte (ma compagne est sous windows), je n'ai pas envie d'installer 2 solutions de sauvegarde.

  • # tarsnap

    Posté par . Évalué à 3 (+1/-0).

    Personnellement je n'ai pas les même critères que toi :

    1. je veux que ce soit un service : je ne veux pas administrer mes sauvegardes. C'est une façon d'éviter que je soit le SPOF. Si je me plante sur ma machine, peut de chance que le service fasse la même erreur en même temps ;
    2. je ne veux pas m'occuper de mes sauvegardes : rien est moins fiable que ma mémoire, donc je supprime toute action manuelle.

    Ce dernier point va à l'encontre de ton besoin d'interface. Je n'ai pas besoin d'interface, puisque je n'ai pas à y penser. Dis autrement la meilleure UI est celle qui n'a pas besoin d'exister :)

    Pour ça j'utilise tarsnap. C'est un service il utilise un client CLI. La première sauvegarde m'a pris pas mal de temps, mais maintenant c'est complètement transparent. C'est évidement chiffré. 2 ou 3 fois par an je descends toutes mes données pour vérifier que tout fonctionne. Je sauvegarde environ 35Gio, le prix n'est pas délirant pour moi.

    Pour la partie client, j'ai créé un petit script qui va lister les sauvegardes distantes, créer une sauvegarde nommée avec la date du jour si elle n'existe pas déjà, et supprimer la plus vielle s'il y en a plus de 7. Et j'ai demandé à network-manager de lancer le script à la connexion.

    De temps en temps je reçois un mail du service qui m'indique que mon compte va peut être manqué de crédit (je crédite une somme chez eux et ils l'a consomment en fonction de mon usage). Je ne sais plus à combien est le seuil.

    Dernier point, leurs sauvegardes sont à la fois incrémentales et décrémentales. Tu n'upload que le nécessaire et tes sauvegardes sont toutes vues comme complètes. C'est extrêmement agréable par rapport à de l'incrémental (qui oblige à avoir un découplage full backup/incremental backup).

    Merci de m'y avoir fais penser, avec le confinement j'utilise plus cette machine, je vais vérifier si j'ai pas de nouveaux dossiers à exclure :)

    • [^] # Re: tarsnap

      Posté par . Évalué à 2 (+0/-0). Dernière modification le 15/04/20 à 11:41.

      Ça me semble minuscule 35GB.

      Moi rien qu'avec les photos/videos j'en ai pour plus d'1.5 TB.

      • [^] # Re: tarsnap

        Posté par . Évalué à 3 (+1/-0).

        Ça me semble minuscule 35GB.

        C'était pas présenter comme particulièrement gros, ni petit d'ailleurs.

        Moi rien qu'avec les photos/videos j'en ai pour plus d'1.5 TB.

        Je n'en ai pas tant que ça. Cumuler des Eio de photos et vidéos ne m'intéresse pas beaucoup et ce que j'ai et garde ne sont pas sur ma machine de bureau et n'utilisent pas la même politique de bakcup. Je ne fais pas de rétention ça n'a pas de sens avec des données qui ne périment pas et qui ont en append only. À la place je maintiens un backup au moment où j'ajoute mes fichiers (je fais peu de photos et vidéos et j'en garde encore moins). C'est simplement déclenché quand je les ajoute à mon serveur. Je redonde le fichier lui même avec par2.

    • [^] # Re: tarsnap

      Posté par . Évalué à 3 (+1/-0).

      Et au cas où ça intéresse quelqu'un j'ai créé un p'tit user script pour changer les unités de volume de données des tableaux.

      // ==UserScript==
      // @name         TarsnapHumanReadable
      // @namespace    http://tampermonkey.net/
      // @version      0.1
      // @description  Tarsnap Human Readable
      // @author       barmic
      // @match        https://www.tarsnap.com/*
      // @grant        none
      // ==/UserScript==
      
      (function() {
          'use strict';
      
          function convert(value) {
              const units = ['o', 'Kio', 'Mio', 'Gio', 'Tio'];
              const values = value.split(" ");
              if (!values || values.length !== 2 || values[1] !== 'bytes') {
                  return value;
              }
              var bValue = values[0];
              var unitIdx = 0;
              while (bValue >= 1000) { // I prefer read "0.97 Gio" instead of "1000 Mio"
                  bValue = bValue / 1024;
                  unitIdx += 1;
              }
              return bValue.toFixed(2) + ' ' + units[unitIdx];
          }
      
          for(let num of document.querySelectorAll("td")) {
              num.textContent = convert(num.textContent);
          }
      })();

      C'est un peu fait à la truelle mais ça fonctionne bien.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.