Sauvegardes #1 − Introduction et serveur de sauvegarde 💾

Cet article fait partie d’une série :

• Sauvegardes #1 − Introduction et serveur de sauvegarde 💾
• Sauvegardes #2 − Sauvegardes de serveurs avec Restic 📁
• Sauvegardes #3 − Sauvegardes de PC avec Restic 💻
• Sauvegardes #4 − Sauvegardes de bases MySQL/MariaDB avec Restic 🗄️
• Sauvegardes #5 − Sauvegardes d’annuaire OpenLDAP avec Restic 🗄️
• Sauvegardes #6 − Sauvegardes de bases PostgreSQL avec Restic 🗄️

Introduction

Vaste sujet que les sauvegardes !

C’est malheureusement une problématique trop souvent délaissée jusqu’au moment où un incident nous ramène tristement à la réalité. Voici donc une petite série de posts pour présenter la nouvelle solution unifiée que j’ai récemment déployé pour mon petit univers.

Une bonne stratégie de sauvegarde doit respecter le principe “3-2-1” ¹ :

• Les données sont répliquées au moins 3 fois (p.e. leur source, le serveur de sauvegarde, et une copie supplémentaire sur un disque USB),
• Ces réplications sont réalisées sur au moins 2 stockages différents,
• Elles sont stockées à minima sur 1 site distant.

Ainsi, je souhaites que la solution respecte le schéma suivant :

Pour cela, j’ai jeté mon dévolu sur le logiciel libre Restic.

Tout cela exiges quelques prérequis:

• Un serveur (Backup NAS) ayant une capacité de stockage adéquate,
• Une bonne bande passante sur chaque site,
• Un disque dur externe pour faire une copie des sauvegardes,
• Une personne de confiance chez qui positionner le serveur de sauvegarde (site distant).

Note sur les performances :

• Ressources : les protocoles de chiffrement (SFTP ou HTTPS) du canal de communication entre la machine à sauvegarder et le serveur de sauvegarde sont particulièrement consommateurs en ressources. Il est donc nécessaire de faire attention au choix du matériel pour ce serveur. Par exemple, un Raspberry Pi d’ancienne génération (B+) ne convient pas.
• Réseaux : une bonne passante permet également limiter le temps de sauvegarde.
• Un temps réduit de sauvegarde est important, car il permet de réduire les risques de collisions (lancement d’une sauvegarde alors que la précédente n’est pas terminée) ou de corruptions (si des modifications sont opérées sur les fichiers pendant la sauvegarde).

Il ne s’agit donc pas d’une solution avec sauvegarde dans le “cloud”. Ainsi, il n’y pas de dépendance vis-à-vis d’un service tiers, même si la solution technique utilisée le supporte. Ces guides peuvent donc être déclinés si besoin.

Cet article présente 3 options pour la mise en place du serveur de sauvegarde :

• Un NAS Synology, avec le service SFTP activé,
• Un serveur SFTP standard (sur Raspberry Pi),
• Un serveur REST Restic (sur Raspberry Pi).

Les 3 sont tout à fait viables, néanmoins, c’est la première option qui a été retenu pour des raisons de performance (vitesse de transfert) et sécurité (possibilité de redondance des disques).

Option 1: SFTP sur un serveur NAS (Synology)

Activation du service SSH

Le protocole SFTP se reposant sur SSH, celui-ci doit être activé.

• Se connecter à l’interface Web du Synology.
• Aller dans Control panel > Terminal & SNMP.
• Cocher la case Enable SSH service, et modifier le port par défaut si vous le souhaitez (à bien noté pour plus tard).
• Créer un utilisateur dédié pour la sauvegarde (restic) et l’ajouter dans le groupe Administrators. En effet, seuls les utilisateurs de ce groupe peuvent accéder au service SSH.

Activation de l’authentification par clé

Comme vous ne pourrez pas entrer le mot de passe à chaque sauvegarde, il est nécessaire de permettre une authentification par clé.

• Se connecter en SSH ($ ssh restic@<ip-serveur> -p <port-serveur> - si port par défaut modifié plus haut)
• Modifier la configuration du service SSH pour autoriser l’authentification par clé (/etc/ssh/sshd_config)
• Dé-commenter les lignes suivantes

PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

• Redémarrer le service SSH pour prendre en compte les modifications
  • $ synoservicectl --restart sshd
  • Ou desactiver et reactiver depuis l’interface web du NAS

Activer les home folders

Les sauvegardes seront conservées dans le home de l’utilisateur restic. Il faut ainsi activer la création des répertoires home.

Pour cela,

• Aller dans Control Panel > User > Advanced > User Home.
• Cocher la case Enable home service.
• Sélectionner la Location (par défaut il choisit le Volume 1, ce qui devrait convenir si vous n’en avez qu’un, sinon ajuster).

Configurer le répertoire racine de SFTP

L’idée est ici de faire correspondre le répertoire home précédemment activé avec la racine SFTP pour l’utilisateur, ceci afin qu’il soit dans son environnement avec les bonnes permissions.

Pour cela,

• Aller dans Control Panel > File Services > FTP > General / Advanced Settings > Security Settings
• Cocher la case Change user root directories
• Aller dans Select User > Add
• Sélectionner l’utilisateur restic, et cocher la case User home

Installer la clé d’authentification

Comme vu précédemment, une authentification par clé doit être mise en place.

Création et installation:

• Générer la paire de clé depuis la machine source avec la commande suivante : ssh-keygen -t rsa
• Copier la clé publique sur le NAS : ssh-copy-id -i <chemin/vers/la/clé> -p <port-serveur> restic@<ip-serveur>

Ajustement des permissions :

$ chown restic:users /volume1/homes/restic/
$ chown restic:users /volume1/homes/restic/.ssh
$ chown restic:users  /volume1/homes/restic/.ssh/authorized_keys
$ chmod 755 /volume1/homes/restic/
$ chmod 700 /volume1/homes/restic/.ssh
$ chmod 600 /volume1/homes/restic/.ssh/authorized_keys

Il est désormais possible de s’authentifier avec la clé:

$ ssh -i <chemin/vers/la/clé> restic@<ip-serveur> -p <port-serveur>

Option 2: SFTP sur un serveur Debian

Ces étapes ont été réalisées avec un Raspberry Pi sous Raspbian 10 (dérivé Debian), disposant d’un accès SSH opérationnel.

Utilisateurs et répertoire de sauvegarde

1. Créer un groupe pour les utilisateurs SFTP :

$ sudo groupadd sftp_users

2. Créer un utilisateur restic (affecté au groupe sftp_users et sans accès shell) :

$ sudo useradd -g sftp_users -M -s /bin/false restic
$ sudo passwd restic 

3. Créer le répertoire destinataire des sauvegardes :

$ sudo mkdir -p /srv/sftp/restic_bkp

4. Ajuster la propriété de l’arborescence racine SFTP et du répertoire de l’utilisateur restic :

$ sudo chown -R root:sftp_users /srv/sftp
$ sudo chown -R restic:sftp_users /srv/sftp/restic

Configuration SSH/SFTP

1. Modifier la configuration du service SSH (/etc/ssh/sshd_config).

2. Ajouter l’utilisateur restic à la liste des utilisateurs autorisés (sans supprimer les utilisateurs déjà présents dans cette liste) :

AllowUsers restic

3. Ajouter des règles spécifiques pour les membres du groupe ftp-users (notamment la racine du serveur SFTP) :

Match Group sftp_users
        X11Forwarding no
        AllowTcpForwarding no
        ChrootDirectory /srv/sftp
        ForceCommand internal-sftp

4. Indiquer le chemin pour la clé publique d’authentification :

Match User restic
        AuthorizedKeysFile /etc/ssh/authorized_keys_%u

5. Déposer le fichier de clé publique sur le serveur à l’emplacement suivant: /etc/ssh/authorized_keys_restic

6. Redémarrer le service pour prendre en compte les changements :

$ sudo systemctl restart ssh

Option 3: Restic REST server

Ces étapes ont été réalisées avec un Raspberry Pi sous Raspbian 10 (dérivé Debian), disposant d’un accès SSH opérationnel.

Installation des prérequis

L’utilisation du serveur REST Restic nécessite l’installation de quelques prérequis:

1. Via apt

$ sudo apt install git apache2-utils certbot

2. Manuellement pour Go, voir https://www.digitalocean.com/community/tutorials/how-to-install-go-on-debian-10

Installation du serveur REST

1. Récupérer les sources : git clone https://github.com/restic/rest-server.git

2. Aller dans le répertoire nouvellement créé et lancer le build : $ CGO_ENABLED=0 go build -o rest-server ./cmd/rest-server

Pour plus de détail, voir le Github du projet : https://github.com/restic/rest-server

Ajout d’un utilisateur

Aller dans le répertoire de destination des sauvegardes et créer l’utilisateur:

$ cd <chemin/des/sauvegardes>
$ sudo -u restic htpasswd -B -c .htpasswd *username*

• B –> utilisation de l’algorithme bcrypt pour la génération du mot de passe
• c –> pour créer un nouveau fichier .htpasswd, l’option peut être omise pour l’ajout d’un utilisateur supplémentaire

Chiffrement TLS

Pour le chiffrement du flux HTTP utilisé par le serveur REST, nous allons utiliser Let’s Encrypt.

Génération d’un certificat TLS avec Let’s Encrypt en mode standalone et ajustement des permissions :

1. Génération des certificats en mode standalone :

$ sudo certbot certonly --standalone

2. Création d’un script qui redémarrera le service rest-server après chaque renouvellement de certificats pour leur prise en compte :

$ sudo sh -c 'printf "#!/bin/sh\nsystemctl restart rest-server.service\n" > /etc/letsencrypt/renewal-hooks/post/rest-server.sh'

3. Ajustement des permissions :

$ sudo chmod 755 /etc/letsencrypt/renewal-hooks/post/rest-server.sh 
$ sudo chmod 755 -R /etc/letsencrypt/archive/
$ sudo chmod 755 -R /etc/letsencrypt/live/

Création d’un service systemd pour le serveur REST

1. Copier le modèle dans le répertoire des services système :

$ sudo cp work/rest-server/examples/systemd/rest-server.service /etc/systemd/system/

2. Et éditer le fichier comme ci-dessous :

[Unit]
Description=Rest Server
After=syslog.target
After=network.target

[Service]
Type=simple
User=restic
ExecStart=/usr/local/bin/rest-server --path <chemin/des/sauvegardes> --tls --tls-cert /etc/letsencrypt/live/<domain>/fullchain.pem --tls-key /etc/letsencrypt/live/<domain>/privkey.pem
Restart=always
RestartSec=5

[Install]
WantedBy=multi-user.target

3. Enfin, recharger la liste des services et démarrer le service nouvellement créé :

$ sudo systemctl daemon-reload 
$ sudo systemctl start rest-server.service 

Sources

• https://flatpacklinux.com/2020/01/07/configure-the-ssh-server-on-your-synology-nas/
• https://silica.io/using-ssh-key-authentification-on-a-synology-nas-for-remote-rsync-backups/