Sauvegardes #3 − Sauvegardes de PC avec Restic 💻

Cet article fait partie d’une série :

Introduction

Suite aux précédents articles sur les sauvegardes, cette 3ème partie traitera de la mise en place de la sauvegarde sur un PC (testé sous Archlinux).

Note : Contrairement à l’article sur la sauvegarde des serveurs, dans ce cas il ne sera pas nécessaire de créer un utilisateur dédié ou de mettre en place des permissions particulières, car l’utilisateur ne sauvegardera que des fichiers de son home sur lesquels il dispose déjà de tous les droits nécessaires.

Installation de Restic

Via un gestionnaire de paquet

Sous Archlinux

$ sudo pacman -S restic

Sous Ubuntu

$ sudo apt install restic

Manuellement

Dans ce cas, le binaire de Restic sera installé dans le home de l’utilisateur

Création d’un répertoire bin dans le home :

$ mkdir $HOME/bin

Déploiement de Restic (pensez à adapter l’URL à la dernière version de Restic) :

$ sudo curl -L https://github.com/restic/restic/releases/download/v0.11.0/restic_0.11.0_linux_amd64.bz2 | bunzip2 > $HOME/bin/restic
$ sudo chmod 750 $HOME/bin/restic

Configurer SSH côté PC

Éditer le fichier de configuration SSH de votre utilisateur ($HOME/.ssh/config), et ajouter les lignes suivantes :

Host <alias du serveur de sauvegarde>
    HostName <nom de domaine ou IP du serveur de sauvegarde>
    User restic
    Port <port SSH>
    IdentityFile /home/<votre utilisateur>/.ssh/restic_id_rsa

Initialiser le dépôt des sauvegardes

$ restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ init

restic : chemin vers le binaire Restic
-r sftp:<alias du serveur de sauvegarde>:restic/<nom du serveur à sauvegarder>
- -r : pour indiquer l’adresse du dépôt (repository)
- sftp : le protocole utilisé
- <alias du serveur de sauvegarde> : l’alias indiqué dans la configuration SSH ci-dessus
- restic/<nom du dépôt> : chemin du dépôt sur le serveur de sauvegarde (en l’occurrence dans un répertoire restic qui contiendra les sauvegardes selon le nom du PC sauvegardé. Il est également possible de nommer le dépôt directement avec le nom de la machine à sauvegarder si cela fait du sens)
- init : fonction pour initialiser le dépôt

Automatisation des sauvegardes

Afin d’assurer l’automatisation des sauvegardes, il sera nécessaire de créer des fichiers de configurations et des services systemd :

1 fichier de configuration contenant les paramètres de sauvegarde,
1 fichier d’exclusion (pour exclure des répertoires ou fichiers au sein des arborescences sélectionnées pour la sauvegarde),
2 services oneshot,
- lancement des sauvegardes, qui sera exécuté quotidiennement à 1h du matin pour réaliser la sauvegarde et supprimer les snapshots en fonction de la politique de rétention (voir fichier de configuration),
- nettoyage des sauvegardes, qui sera exécutée mensuellement pour effectivement supprimer les données liées aux snapshots supprimés (cette opération étant plus lourde, il n’est pas nécessaire de la lancer trop souvent),
2 timers pour planifier l’exécution de ces services.

Les configurations

Créer le répertoire pour stocker les configurations :

$ mkdir $HOME/.config/restic

Créer le fichier de configuration $HOME/.config/resitc/restic-backup.conf, avec les paramètres suivants :
- BACKUP_PATHS : les chemins des répertoires à sauvegarder, séparé par des espaces.
- BACKUP_EXCLUDES : le chemin du fichier d’exclusion. Laisser le champ vide s’il n’est pas nécessaire d’exclure des fichiers.
- RETENTION_DAYS : le nombre de snapshot journalier à garder.
- RETENTION_WEEKS : le nombre de snapshot hebdomadaire à garder.
- RETENTION_MONTHS : le nombre de snapshot mensuel à garder.
- RETENTION_YEARS : le nombre de snapshot annuel à garder.
- RESTIC_REPOSITORY : l’adresse du dépôt.
- RESTIC_PASSWORD : le mot de passe du dépôt.
Exemple :

BACKUP_PATHS="/home/<votre utilisateur>"
BACKUP_EXCLUDES="--exclude-file /home/<votre utilisateur>/.config/restic/restic-excludes.conf"
RETENTION_DAYS=7
RETENTION_WEEKS=4
RETENTION_MONTHS=6
RETENTION_YEARS=3
RESTIC_REPOSITORY=sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/
RESTIC_PASSWORD=

Créer le fichier d’exclusion $HOME/.config/restic/restic-excludes.conf, et y lister les chemins de fichiers ou répertoires à exclure. Par exemple :

/home/<vptre utilisateur>/tmp
/home/<vptre utilisateur>/somefile

Services

Créer le répertoire pour les services systemd :

$ mkdir $HOME/.config/systemd/user/

Créer le service pour les sauvegardes $HOME/.config/systemd/user/restic-backup.service :

[Unit]
Description=Restic backup service
After=network-online.target
Wants=network-online.target
StartLimitIntervalSec=300
StartLimitBurst=5
[Service]
Type=oneshot
Restart=on-failure
RestartSec=30
ExecStart=restic backup --verbose --one-file-system --tag systemd.timer $BACKUP_EXCLUDES $BACKUP_PATHS
ExecStartPost=restic forget --verbose --tag systemd.timer --group-by "paths,tags" --keep-daily $RETENTION_DAYS --keep-weekly $RETENTION_WEEKS --keep-monthly $RETENTION_MONTHS --keep-yearly $RETENTION_YEARS
EnvironmentFile=%h/.config/restic-backup.conf

Quelques éléments ont été ajoutés rapport aux services créés pour les serveurs :

Afin de s’assurer que le service ne se lancera que lorsqu’une connexion à internet est disponible, il faut indiquer cette dépendance :
- After=network-online.target : utilisé conjointement avec la directive ci-dessous, mais avec une notion ordonnancement.
- Wants=network-online.target : indique la nécessité d’une connexion réseau active pour le lancement du service.
Néanmoins, cette vérification n’est pas viable lors d’une sortie de veille. Il faut donc également mettre en place un redémarrage du service en cas d’échec, avec des gardes fous afin de limiter le nombre de lancement du service :
- StartLimitIntervalSec=300 : défini l’intervalle de temps (300 secondes) du taux maximum de démarrage.
- StartLimitBurst=5 : défini le nombre de démarrage maximum, dans l’intervalle défini ci-dessus.
- Restart=on-failure : redémarre le service s’il a échoué.
- RestartSec=30 : défini le temps d’attente avant de redémarrer le service (30 secondes).

Créer le timer pour les sauvegardes ~/.config/systemd/user/restic-backup.timer :

[Unit]
Description=Backup with restic daily
[Timer]
OnCalendar=*-*-* 1:00:00
Persistent=true
[Install]
WantedBy=timers.target

Créer le service pour le nettoyage des sauvegardes ~/.config/systemd/user/restic-prune.service :

[Unit]
Description=Restic backup service (data pruning)
After=network-online.target
Wants=network-online.target
StartLimitIntervalSec=300
StartLimitBurst=5
[Service]
Type=oneshot
Restart=on-failure
RestartSec=30
ExecStart=restic prune
EnvironmentFile=%h/.config/restic-backup.conf

Créer le timer pour le nettoyage ~/.config/systemd/user/restic-prune.timer :

[Unit]
Description=Prune data from the restic repository monthly
[Timer]
OnCalendar=monthly
Persistent=true
[Install]
WantedBy=timers.target

Recharger la liste des services :

$ systemctl --user daemon-reload

Activer les timers :

$ systemctl --user enable --now restic-backup.timer
$ systemctl --user enable --now restic-prune.timer

Il est également possible de lancer manuellement les services avec les commandes suivantes :

$ systemctl --user start restic-backup
$ systemctl --user start restic-prune.service

Manipuler les sauvegardes

Lister les snapshots

$ restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ snapshots

Restorer un snapshot

$ mkdir $HOME/tmp
$ restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ restore latest --target /home/brice/tmp/<nom du PC>-restore

Monter un snapshot

$ mkdir -p $HOME/mnt/restic
$ restic -r sftp:<alias du serveur de sauvegarde>:restic/<nom du dépôt>/ mount ~/mnt/restic/