Sauvegarde BorgBackup en SSH sur un serveur

Après une connexion au serveur avec un compte existant d'administrateur du serveur

• Créer un utilisateur au nom de l'utilisateur dans le groupe “save” avec son home dans /home/sauvegardes
  • adduser –force-badname –home /home/sauvegardes/$HOSTNAME –ingroup save $HOSTNAME
  • le mot de passe quelconque ne sera plus utilisé lorsque le compte sur le serveur sera passé en connexion sans login (passwd -l $HOSTNAME)
• Vérifier la connexion SSH avec cet utilisateur vers le serveur : ssh $HOSTNAME@SERVER
• Sur ordi vérifier que les clés SSH sont présentes dans $HOME/.ssh
  • id_ed25519 clé privé
  • id_ed25519pub clé publique
• Si elles n'existent pas il faut les générer par :
  • ssh-keygen -o -a 100 -t ed25519 -f ~/.ssh/id_ed25519 -C $HOSTNAME$LOGNAME -N “”
• Modification des permissions pour éviter les erreurs :
  • chmod 0700 ~/.ssh
  • chmod 0600 ~/.ssh/id_ed25519
• Envoyer la clé publique sur le serveur
  • ssh-copy-id -i ~/.ssh/id_ed25519.pub $HOSTNAME@SERVER
• Vérifier la connexion SSH avec le serveur : ssh $HOSTNAME@SERVER

• apt install borgbackup
• Créer les répertoires
  • /opt/sauvegardes (chmod 755 pour être éventuellement utilisé par les autres comptes de l'ordi)
  • /mnt/borg\_archive (chmod 777 pour permettre le montage des archives)
• Copier dans /opt/sauvegardes/
  • le script de sauvegarde et de montage de ses sauvegardes : _BORG_SSH.sh
  • chmod 644 /opt/sauvegardes/\_BORG\_SSH.sh
• Ajouter à Application au démarrage
  • sh /opt/sauvegardes/\_BORG\_SSH.sh

Pour initialiser le compte borgbackup il faut créer un répertoire vide. Dans notre cas borg
Cette commande va initialiser un référentiel vide :

borg init --encryption=repokey-blake2 ssh://$HOSTNAME@SERVEUR/home/sauvegardes/$HOSTNAME/borg

Une phrase de passe est demandée. Elle sera nécessaire pour accéder au référentiel. Elle pourra être changée à tout moment (borg key change-passphrase) . Elle devra être ni trop courte, ni trop simple et devra être sauvegardée par exemple dans un gestionnaire de mots de passe comme keepassxp

Si les versions de Borg sur le serveur et le poste sont différentes lancer la commande :

borg upgrade --disable-tam ssh://$HOSTNAME@SERVEUR/home/sauvegardes/$HOSTNAME/borg

Sauvegarde de la clé de chiffrement à enregistrer par exemple dans le gestionnaire de mots de passe. Avec repokey la sauvegarde n'est pas strictement nécessaire, mais évite que le référentiel ne devienne inaccessible si le fichier qui contient cette clé sur le serveur est endommagé pour une raison quelconque

borg key export ssh://$HOSTNAME@SERVEUR/home/sauvegardes/$HOSTNAME/borg [PATH]

Liste des archives disponibles

  borg list ssh://$HOSTNAME@SERVEUR/home/sauvegardes/$HOSTNAME/borg
  borg list --json ssh://$HOSTNAME@SERVEUR/home/sauvegardes/$HOSTNAME/borg  (plus d'infos)
  

Restaurer une archive par montage (fait automatiquement au démarrage par le script _BORG_SSH.sh)

  borg mount ssh://$HOSTNAME@SERVEUR/home/sauvegardes/$HOSTNAME/borg::nom [PATH]
  

Démontage : borg umount [PATH]

Extraction d'une archive. Assurez-vous d'être au bon endroit [PATH…] avant de lancer l'extraction

  borg extract [options]  ssh://$HOSTNAME@SERVEUR/home/sauvegardes/$HOSTNAME/borg::nom [PATH...]