Sauvegardes #2 − Sauvegardes de serveurs avec Restic 📁

Cet article fait partie d’une série :

• Sauvegardes #1 − Introduction et serveur de sauvegarde 💾
• Sauvegardes #2 − Sauvegardes de serveurs avec Restic 📁
• Sauvegardes #3 − Sauvegardes de PC avec Restic 💻
• Sauvegardes #4 − Sauvegardes de bases MySQL/MariaDB avec Restic 🗄️
• Sauvegardes #5 − Sauvegardes d’annuaire OpenLDAP avec Restic 🗄️
• Sauvegardes #6 − Sauvegardes de bases PostgreSQL avec Restic 🗄️

Introduction

Suite au premier article de cette série décrivant le choix de la solution Restic et la mise en place du serveur de sauvegarde, cette 2ème partie traitera de la mise en place de la sauvegarde d’un serveur Debian Buster/10.

Créer un utilisateur dédié

Afin d’éviter de réaliser les sauvegardes avec le compte root, un utilisateur dédié à la réalisation de ces taches doit être créé :

$ sudo useradd -m restic -s /bin/bash

Installation de Restic

Restic sera installé dans le home de l’utilisateur précédemment créé, avec des permissions spécifiques afin d’accéder à des fichiers systèmes¹.

1. Création d’un répertoire bin dans le home :

$ sudo -u restic mkdir ~restic/bin

2. Déploiement de Restic (pensez à adapter l’URL à la dernière version de Restic) :

$ sudo -u restic sh -c 'curl -L https://github.com/restic/restic/releases/download/v0.12.1/restic_0.12.1_linux_amd64.bz2 | bunzip2 > ~restic/bin/restic'

3. Ajustement de la propriété et des permissions sur le binaire, afin que seuls les utilisateurs root et restic puissent l’exécuter :

$ sudo chown root:restic ~restic/bin/restic
$ sudo chmod 750 ~restic/bin/restic

4. Il faut enfin ajouter un attribut étendu au binaire pour étendre ses capacités² à chaque exécution :
   • cap_dac_read_search : donne un accès complet en lecture au système, en contournant les restrictions d’accès en lecture aux fichiers et l’ouverture des répertoires. Cela permet à un utilisateur à faible privilège (restic) d’exécuter une sauvegarde sur l’ensemble du serveur.
   • + : ajoute la capacité
   • e : Effective - active la capacité
   • p : Permitted - autorise la capacité

$ sudo setcap cap_dac_read_search=+ep ~restic/bin/restic

Il est préférable d’ouvrir une nouvelle session afin de s’assurer que les changements ont bien été pris en compte.

Configurer SSH côté serveur à sauvegarder

Créer le répertoire de configuration SSH de l’utilisateur restic et son fichier de configuration :

$ sudo -u restic mkdir ~restic/.ssh
$ sudo -u restic vim ~restic/.ssh/config

Éditer ce fichier de configuration et ajouter les lignes suivantes :

Host <alias du serveur de sauvegarde>
    HostName <nom de domaine ou IP du serveur de sauvegarde>
    User restic
    Port <port SSH>
    IdentityFile /home/restic/.ssh/restic_id_rsa

Initialiser le dépôt des sauvegardes

$ sudo -u restic /home/restic/bin/restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ init

• sudo -u restic : lance la commande sous l’utilisateur restic
• /home/restic/bin/restic : chemin vers le binaire Restic
• -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>
  • -r : pour indiquer l’adresse du dépôt (repository)
  • sftp : le protocole utilisé
  • <alias du serveur de sauvegarde> : l’alias indiqué dans la configuration SSH ci-dessus
  • restic/<nom du dépôt> : chemin du dépôt sur le serveur de sauvegarde (en l’occurrence dans un répertoire restic qui contiendra les sauvegardes selon le nom du serveur sauvegardé. Il est également possible de nommer le dépôt directement avec le nom de la machine à sauvegarder si cela fait du sens)
  • init : fonction pour initialiser le dépôt

Automatisation des sauvegardes

Afin d’assurer l’automatisation des sauvegardes, il sera nécessaire de créer des fichiers de configurations et des services systemd :

• 1 fichier de configuration contenant les paramètres de sauvegarde,
• 1 fichier d’exclusion (pour exclure des répertoires ou fichiers au sein des arborescences sélectionnées pour la sauvegarde),
• 2 services oneshot,
  • lancement des sauvegardes, qui sera exécuté quotidiennement à 1h du matin pour réaliser la sauvegarde et supprimer les snapshots en fonction de la politique de rétention (voir fichier de configuration),
  • nettoyage des sauvegardes, qui sera exécutée mensuellement pour effectivement supprimer les données liées aux snapshots supprimés (cette opération étant plus lourde, il n’est pas nécessaire de la lancer trop souvent),
• 2 timers pour planifier l’exécution de ces services.

Les configurations

Les étapes suivantes sont réalisées par l’utilisateur restic, depuis son home. Sinon les permissions seront à corriger.

1. Créer le répertoire pour stocker les configurations :

$ sudo -u restic mkdir -p ~restic/.config/restic

2. Créer le fichier de configuration ~restic/.config/resitc/restic-backup.conf, avec les paramètres suivants :

   • BACKUP_PATHS : les chemins des répertoires à sauvegarder, séparé par des espaces.
   • BACKUP_EXCLUDES : le chemin du fichier d’exclusion. Laisser le champ vide s’il n’est pas nécessaire d’exclure des fichiers.
   • RETENTION_DAYS : le nombre de snapshots journalier à garder.
   • RETENTION_WEEKS : le nombre de snapshots hebdomadaire à garder.
   • RETENTION_MONTHS : le nombre de snapshots mensuel à garder.
   • RETENTION_YEARS : le nombre de snapshots annuel à garder.
   • RESTIC_REPOSITORY : l’adresse du dépôt.
   • RESTIC_PASSWORD : le mot de passe du dépôt.

   Exemple :

BACKUP_PATHS="/etc /home"
BACKUP_EXCLUDES="--exclude-file /home/restic/.config/restic/restic-excludes.conf"
RETENTION_DAYS=7
RETENTION_WEEKS=4
RETENTION_MONTHS=6
RETENTION_YEARS=3
RESTIC_REPOSITORY=sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/
RESTIC_PASSWORD=

3. Créer le fichier d’exclusion ~/.config/restic/restic-excludes.conf, et y lister les chemins de fichiers ou répertoires à exclure. Par exemple :

/home/restic/tmp
/home/restic/somefile

Services avec instance utilisateur de systemd

Préparer l’environement à executer des services systemd sans avoir de session ouverte.

1. Activer les instances utilisateurs systemd au démarrage (et non à l’ouverture de session) :

$ sudo loginctl enable-linger restic

2. Ajouter les lignes suivantes pour afecter les variables XDG_RUNTIME_DIR et DBUS_SESSION_BUS_ADDRESS manuellement dans le .bashrc de restic (normalement elles le sont automatiquement à l’ouverture de session) :

export XDG_RUNTIME_DIR="/run/user/$UID"
export DBUS_SESSION_BUS_ADDRESS="unix:path=${XDG_RUNTIME_DIR}/bus"

Les étapes suivantes sont réalisées par l’utilisateur restic, depuis son home. Sinon les permissions seront à corriger.

1. Créer le répertoire pour les services systemd :

$ sudo -u restic mkdir -p ~/.config/systemd/user/

2. Créer le service pour les sauvegardes ~/.config/systemd/user/restic-backup.service :

[Unit]
Description=Restic backup service
[Service]
Type=oneshot
ExecStart=%h/bin/restic backup --verbose --one-file-system --tag systemd.timer $BACKUP_EXCLUDES $BACKUP_PATHS
ExecStartPost=%h/bin/restic forget --verbose --tag systemd.timer --group-by "paths,tags" --keep-daily $RETENTION_DAYS --keep-weekly $RETENTION_WEEKS --keep-monthly $RETENTION_MONTHS --keep-yearly $RETENTION_YEARS
EnvironmentFile=%h/.config/restic/restic-backup.conf

3. Créer le timer pour les sauvegardes ~/.config/systemd/user/restic-backup.timer :

[Unit]
Description=Backup with restic daily
[Timer]
OnCalendar=*-*-* 1:00:00
Persistent=true
[Install]
WantedBy=timers.target

4. Créer le service pour le nettoyage des sauvegardes ~/.config/systemd/user/restic-prune.service :

[Unit]
Description=Restic backup service (data pruning)
[Service]
Type=oneshot
ExecStart=%h/bin/restic prune
EnvironmentFile=%h/.config/restic/restic-backup.conf

5. Créer le timer pour le nettoyage ~/.config/systemd/user/restic-prune.timer :

[Unit]
Description=Prune data from the restic repository monthly
[Timer]
OnCalendar=monthly
Persistent=true
[Install]
WantedBy=timers.target

6. Recharger la liste des services :

$ systemctl --user daemon-reload

7. Activer les timers :

$ systemctl --user enable --now restic-backup.timer
$ systemctl --user enable --now restic-prune.timer

Il est également possible de lancer manuellement les services avec les commandes suivantes :

$ systemctl --user start restic-backup
$ systemctl --user start restic-prune.service

Services sans instance utilisateur de systemd

Les étapes suivantes sont réalisées par un utilisateur pouvant utiliser la commande sudo.

1. Créer le service pour les sauvegardes /etc/systemd/system/restic-backup.service :

[Unit]
Description=Restic backup service
[Service]
User=restic
Type=oneshot
ExecStart=/home/restic/bin/restic backup --verbose --one-file-system --tag systemd.timer $BACKUP_EXCLUDES $BACKUP_PATHS
ExecStartPost=/home/restic/bin/restic forget --verbose --tag systemd.timer --group-by "paths,tags" --keep-daily $RETENTION_DAYS --keep-weekly $RETENTION_WEEKS --keep-monthly $RETENTION_MONTHS --keep-yearly $RETENTION_YEARS
EnvironmentFile=/home/restic/.config/restic-backup.conf

2. Créer le timer pour les sauvegardes /etc/systemd/system/restic-backup.timer :

[Unit]
Description=Backup with restic daily
[Timer]
OnCalendar=*-*-* 1:00:00
Persistent=true
[Install]
WantedBy=timers.target

3. Créer le service pour le nettoyage des sauvegardes /etc/systemd/system/restic-prune.service :

[Unit]
Description=Restic backup service (data pruning)
[Service]
User=restic
Type=oneshot
ExecStart=/home/restic/bin/restic prune
EnvironmentFile=/home/restic/.config/restic-backup.conf

4. Créer le timer pour le nettoyage /etc/systemd/system/restic-prune.timer :

[Unit]
Description=Prune data from the restic repository monthly
[Timer]
OnCalendar=monthly
Persistent=true
[Install]
WantedBy=timers.target

5. Recharger la liste des services :

$ sudo systemctl daemon-reload

6. Activer les timers :

$ sudo systemctl enable --now restic-backup.timer
$ sudo systemctl enable --now restic-prune.timer

Il est également possible de lancement manuellement les services avec les commandes suivantes :

$ sudo systemctl  start restic-backup
$ sudo systemctl  start restic-prune.service

Manipuler les sauvegardes

Lister les snapshots

$ sudo -u restic /home/restic/bin/restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ snapshots

Restorer un snapshot

$ mkdir $HOME/tmp
$ sudo -u restic /home/restic/bin/restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ restore latest --target /home/brice/tmp/<nom du serveur>-restore

Monter un snapshot

Restic utilise (fuse)[https://github.com/libfuse/libfuse] pour monter la sauvegarder comme un système de fichier local. Il est donc nécessaire de l’installer préalablement :

$ sudo apt install fuse3

Puis créer un répertoire et monter le snapshot :

$ mkdir -p $HOME/mnt/restic
$ sudo -u restic /home/restic/bin/restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ mount ~/mnt/restic/

Bonus − mise à jour de Restic

Si Restic a été installé manuellement, comme décrit dans cet article, le gestionnaire de paquet ne pourra pas gérer sa mise à jour. Il faudra la réaliser manuellement également. Pour cela il faut un utilisateur pouvant utiliser la commande sudo.

1. Lancer restic avec la commande self-update :

$ sudo ./home/restic/bin/restic self-update
writing restic to /home/restic/bin/restic
find latest release of restic at GitHub
latest version is 0.11.0
download SHA256SUMS
download SHA256SUMS.asc
GPG signature verification succeeded
download restic_0.11.0_linux_amd64.bz2
downloaded restic_0.11.0_linux_amd64.bz2
saved 19128320 bytes in /home/restic/bin/restic
successfully updated restic to version 0.11.0

2. Corriger la propriété, les permissions et la capacité (voir plus haut pour les explications) :

$ sudo chown root:restic /home/restic/bin/restic 
$ sudo chmod 750 /home/restic/bin/restic
$ sudo setcap cap_dac_read_search=+ep /home/restic/bin/restic 

Sources

• https://www.server-world.info/en/note?os=Debian_9&p=ssh&f=5
• https://www.techrepublic.com/article/how-to-set-up-an-sftp-server-on-linux/
• https://unix.stackexchange.com/questions/422790/can-i-ssh-via-public-key-if-there-is-no-home-directory-on-the-remote-system
• https://fedoramagazine.org/automate-backups-with-restic-and-systemd/
• https://wiki.archlinux.org/index.php/Systemd/User#Automatic_start-up_of_systemd_user_instances