Re: Exporter une sauvegarde sans compte root avec rsync

[Pierre Malard <plm@teledetection.fr>]

Le 3 mai 2012 à 12:02, szczygiel benoit a écrit :
> Le 03/05/2012 09:52, Jonathan ILIAS-PILLET a écrit :
>> J'essaie de mettre en place une sauvegarde différentielle basée sur rsync.
>> Ne tenant pas à me connecter en root sur la machine à sauvegarder, j'ai
>> pensé faire les choses ainsi :
>> - création d'un disque virtuel (fichier de 100 Go + mke2fs) propriété du
>> compte de backup (donc pas root)
>> - mountage de ce disque dans un répertoire /backup
>> - sauvegarde sélective avec rsync vers /backup (localement et en tant que
>> root, via cron)
>> - démountage de /backup
>> - un peu plus tard, connexion distante via le compte de backup
>> - mountage de l'image disque via fuseext2
>> - téléchargement via rsync
>> 
>> L'intérêt d'une telle solution est :
>> - si l'archive peut être corrompue via le compte de backup, ce dernier ne
>> peut pas corrompre directement le serveur
>> - en utilisant une image disque via fuse, je peux accéder à des fichiers en
>> principe accessibles uniquement à root tout en conservant les droits et
>> autres attributs originaux
>> - pour ce dernier point, j'utilisais jusqu'ici des archives tar, mais ici,
>> je peux faire de la sauvegarde différentielle grâce à rsync
>> 
>> Sauf que je me trouve face à un bug de fuseext2. J'ai fait un rapport, sans
>> réponse pour l'instant (
>> http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=670622).
>> 
>> Bref, en attendant de trouver une solution à ce bug, j'aimerai avoir vos
>> avis sur cette solution et éventuellement d'autres idées similaires.
>> 
>> En particulier, même si cela me paraît plus efficace, le fait de passer par
>> une image disque tient de l'usine à gaz et m'oblige à trouver une solution
>> au bug de fuseext2. Je n'ai pas trouvé d'autre solution pour conserver les
>> droits originaux sans être root.
>> 
> Bonjour,
> Moi j'ai réglé le problème en faisant le contraire, c'est le root du
> serveur qui gère la sauvegarde, ce n'est pas le backup. Si ton compte
> root de serveur est corrompu, de toute façon!!!

Ça me semble effectivement beaucoup pus sûr. Comme ça, le serveur, ouvert vers
l'extérieur, n'a aucun moyen de remonter vers le backup. Seules des données
sont sauvées, pas du logiciel exécuté sur le backup; il est neutre dans cette
affaire. Il suffit que le serveur de backup ait un accès direct au serveur à
sauvegarder via sa clef publique ssh déposée auparavant.

Pour ce qui est de la sauvegarde différentielle, le rsync me paraît également
bien mieux armé que le tar. Il permet notamment de faire un différentiel via 
les liens d'inodes que ne permet pas le tar. Ça permet de n'avoir qu'une seule
occurrence d'une même version d'un fichier. C'est très économe en place disque
et ça présente l'arborescence sauvegardée entière, telle que, sans qu'il y ait
des redondances inutiles. Il y a même un excellent paquet, "rsnapshot", qui, 
basé sur rsync, organise ça à merveille.

----
Pierre Malard

      « Les utopies ne sont souvent que des vérités prématurées »
                                          Alphonse de Lamartine
   |\      _,,,---,,_
   /,`.-'`'    -.  ;-;;,_
  |,4-  ) )-,_. ,\ (  `'-'
 '---''(_/--'  `-'\_)


perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-.  ;-;;,-:  |,A-  ) )-,_. ,\ (  `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"'  `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print'
- --> Ce message n’engage que son auteur <--