Stratégie de sauvegarde

Bonjour à toutes et tous,
Je m’interroge sur la stratégie de sauvegarde à mettre en œuvre sur mon instance Yunohost. Mon yunohost est hébergé sur un VPS chez OVH. A la maison je dispose d’un NAS Synology DS218play, du coup me viens l’idée de faire une sauvegarde automatique directement vers le NAS. Mais comment mettre en place simplement ceci? J’ai regardé la doc de BORG car borg serveur est disponible sur mon NAS, mais la mise en place me parait complexe. De plus si j’ai bien compris la doc cela voudrait dire pour moi exposer le port SSH de mon NAS sur le net…

1 Like

Pour les sauvegardes, la théorie c’est 3 supports à 2 endroits différents (et régulièrement tester de restaurer).

Du coup je ne peux que te conseiller très fortement de le faire, comme ça si la salle serveur où tu es brûle, tu aura une sauvegarde chez toi :slightly_smiling_face:

Pour ce qui est de rendre le port ssh accessible sur le net, je suis d’accord, c’est dangereux, MAIS (ouf, il y a un mais) tu peix atténuer le danger.
Déjà, mettre un système genre fail2ban (ip bannie si trop d’erreur en sa provenance).
Et niveau SSH, changer le port par défaut et ne surtout pas avoir d’utilisateur root autorisé (et éviter les logins courant comme admin, user, ton nom de domaine…)
Faire en sorte que les seules connexions possibles soient avec des clefs ssh.
Limiter les commandes possibles en ssh (l’appli borgserver de yunohost par exemple fait en sorte que la connexion ssh ne permette que l’accès à borg)

Avec tout ça, tu limite les risques, à toi de faire la balance entre ce que tu risque si quelqu’un réussit à se connecter et ce que tu risque en n’ayant pas de sauvegardes distantes :slightly_smiling_face:

Je vais réfléchir un peu à tout ça. Mais mettre en place BORG ne va pas être simple pour moi, j’atteins la limite de mes connaissances la :sweat_smile:

Si éventuellement quelqu’un à une solution plus simple à mettre en place je suis preneur.

Pour préciser, c’est ce qui est couramment appelé “la règle 3-2-1” (enfin la règle… tu fais ce que tu veux hein @clark17 :wink: ), c’est-à-dire:

  • 3 copies (le fichier + 2 sauvegardes)
  • 2 types de support de stockage différents: par exemple un disque dur et un dvd. Bon évidemment c’est souvent difficile et peu pratique (coût, volume…), une version plus simple de cela est de ne pas utiliser les mêmes disques durs pour le stockage : pas les mêmes modèles, pas achetés dans la même série (pour réduire le risque de pannes simultanées).
  • 1 copie dans un endroit différent de l’originale (si ça crame, si c’est inondé, se fait voler…)

À noter que le changement du numéro de port permet “seulement” de réduire le nombre d’attaques (automatiques), car un simple scan des ports ouverts permet de détecter le nouveau port SSH. Par contre, un paquet de robots ne vont tester que le port par défaut (22) et se faire bloquer direct.
Pour l’utilisateur, l’idéal est d’avoir un utilisateur dédié, avec seulement les droits en écriture sur le répertoire cible, et rien d’autre.

Éventuellement si l’IP du serveur est statique, on peut aussi configurer fail2ban pour n’autoriser que cette IP. C’est pas essentiel, mais toujours un verrou de plus (note que tu ne pourras plus intervenir à distance si ton IP n’est pas enregistrée…).

1 Like

Bon après quelques recherches et essai mettre en place le serveur BORG sur mon NAS ce n’est pas si simple et surtout niveau sécurité c’est limite puisque que je dois l’exposer sur internet.

Du coup je suis partie sur autre chose. Sur mon NAS j’ai généré une clef SSH puis importer la clef publique sur yunohost pour l’utilisateur admin.
A partir de mon syno j’ai bien accès a SSH sans mot de passe seulement la clef, mais pour rsync yunohost me demande toujours le mot de passe… Je sèche sur ce problème…

Le but étant que la NAS initie la sauvegarde en Rsync depuis le dossier backup sur yunohost.

Ce qui semble en effet bien plus sécurisé dans ce sens.

Cet article sur rsync et ssh pourrait t’intéresser.

1 Like

@mib En effet c’est intéressant mais sur mon NAS impossible d’ajouter sshpass…

Et bien dans ce cas tu installes sshpass sur ton yunohost et tu pousses la synchro depuis ton vps vers ton nas en non l’inverse.

Il faut aussi que rsync soit installé sur yunohost.

@mib Rsync est bien installé sur Yunohost. Par contre comme expliqué pour des motifs de sécurité je ne souhaite pas exposé le port ssh du NAS sur le net. J’ai ouvert un autre sujet dédié pour cela, comme on s’éloigne du sujet d’origine: Accès SFTP avec clef SSH

Désolé d’avoir pollué le sujet

@mib aucun problème au contraire, merci de tes conseils.

Pour ceux que cela intéresse j’ai fait un petit billet de blog:
Sauvegarde Yunohost sur un NAS Synology distant

1 Like