technique:adminsys:backup:install_and_config

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Dernière révisionLes deux révisions suivantes
technique:adminsys:backup:install_and_config [2023/06/26 16:06] – [Installation du service / timer systemd] ppomtechnique:adminsys:backup:install_and_config [2023/06/26 16:15] – [Configuration du user backup] → [Configuration de restic-server] ppom
Ligne 64: Ligne 64:
 sudo systemctl start autorestic.timer sudo systemctl start autorestic.timer
 ``` ```
 +## Configuration de restic-server
  
-## Configuration du user backup+Auparavant, nous avions un user `backup` sur le serveur distant, dédié au stockage des backups. Cependant nous avions des problèmes d'efficacité et de robustesse avec le backend SSH de `restic`. Nous utilisons maintenant [`restic-server`](https://gitlab.utc.fr/picasoft/projets/services/restic-server), un petit serveur HTTP qui remplit ce même rôle.
  
-Nous décidons de créer un utilisateur dédié afin d'effectuer les backups. Cet utilisateur permet de s'authentifier sur la machine distante mais nous ne lui permettrons pas d'ouvrir un shell distant.+// TODO finir cette partie
  
-Pour créer cet utilisateur nous utilisons le LDAP et créons un utilisateur de le dossier `Services`, ce compte doit être autorisés uniquement sur les machines sur lesquelles seront stockés les backups (pas les hyperviseurs). +- Authentification double HTTPS : certificats client & serveur générés côté traefik [ici](https://gitlab.utc.fr/picasoft/projets/services/traefik/#authentification-client). Certificat client à copier dans le dossier `certs/du repo concerné 
- +- Authentification supplémentaire via le user restic-server
-Nous créons une paire de clés SSH pour cet utilisateur dont nous plaçons la clé privée sur le pass et dans le dossier `/root/.ssh` afin qu'elle soit accessible sur la machine que nous souhaitons backuperIl faut ensuite placer la clé publique dans le LDAP. +
- +
-Il faut ensuite configurer le serveur ssh de la machine de stockage pour chrooter l'utilisateur et ne lui autoriser que le sftp. On ajoute dans `/etc/ssh/sshd_config` : +
-``` +
-Match User backup +
- ChrootDirectory /DATA/BACKUP +
- ForceCommand internal-sftp +
- AllowTCPForwarding no +
- X11Forwarding no +
-``` +
- +
-On redémarre le serveur SSH pour que la nouvelle configuration prenne effet `sudo systemctl restart sshd`.+
  
 Enfin nous définissons root et son groupe comme propriétaire de `/DATA/BACKUP` avec `chown root:root /DATA/BACKUP`. Il faudra aussi donner les droits à l'utilisateur backup sur son dossier `chown -R backup:backup /DATA/BACKUP/backup`. Enfin nous définissons root et son groupe comme propriétaire de `/DATA/BACKUP` avec `chown root:root /DATA/BACKUP`. Il faudra aussi donner les droits à l'utilisateur backup sur son dossier `chown -R backup:backup /DATA/BACKUP/backup`.
  • technique/adminsys/backup/install_and_config.txt
  • de ppom