Planet

Quand vous supprimez un fichier de votre ordinateur, et même en vidant la corbeille ou formatant le disque dur, ce dernier en garde toujours une trace. C’est d’ailleurs grâce à ça que des outils permettent de récupérer les données que vous avez perdu ou effacer par erreur.

Mais parfois, on tient à ce que le fichier qu’on vient de supprimer ne soit plus récupérable. C’est le cas par exemple quand on vend notre ordinateur, ou quand vous travaillez sur une machine qui n’est pas la votre, vous aimerez bien ne laissez pas de document sensible derrière vous. Heureusement, plusieurs logiciels qui permettent d’effectuer cette tâche existent sur la toile, parmi eux Nautilus Wipe et Shred

Mais avant de vous parler de Nautilus Wipe et de Shred, une petite explication -sans rentrer dans les détails techniques -s’impose. Quand vous supprimez un fichier de votre disque dur, ce dernier ne supprime que la référence vers le fichier et garde son contenu intact, et continuera à le faire, jusqu’à ce que l’espace où il est sauvegardé, soit réutilisé. En fait, il faut réécrire dans l’espace occupé par ledit fichier plusieurs fois, afin d’être sûr qu’il n’y a plus de trace de lui sur le disque dur !

Nautilus Wipe et Shred agissent à peu près de la même façon. Le premier est une extension pour le gestionnaire de fichiers Nautilus, un paquet est disponible dans les dépôts de Debian GNU/Linux et Ubuntu.

apt-get install nautilus-wipe

Après l’installation, lancez Nautilus et sélectionnez le ou les fichiers que vous voulez supprimer, faites un clic droit puis “Ecraser” :

nautilus-wipe

Avant de confirmer l’action, vous pouvez modifier quelques options :

nautilus-wipe

Nautilus Wipe permet aussi de nettoyer le disque dur ou juste une partition, de tous les fichiers qui furent supprimés de façon non sécurisés. Pour ça, il suffit de cliquer sur “Écraser l’espace disque disponible” :

nautilis wipe

L’opération peut durer plusieurs dizaines de minutes, tout dépendra de l’espace libre sur votre disque dur.

Shred quant à lui, présente l’avantage d’être exécutable en ligne de commande, en plus du fait qu’on peut l’intégrer à Nautilus. Shred est installé par défaut dans Debian GNU/Linux et Ubuntu, il fait partie du paquet Coreutils. Voici un exemple d’utilisation de Shred :

shred -n 50 -z -u fichier

  • Le paramètre -n permet de définir le nombre de fois que shred va remplacer les données du fichier (ici 50) ;
  • le paramètre -z indique à Shred qu’il faut remplacer les données du fichier par des zéros ;
  • le paramètre -u va  tronquer et supprimer le fichier.

Voilà, maintenant vous serez capables de supprimer vos fichiers sensibles en toute sécurité ;)

Cet article Supprimer un fichier définitivement de votre ordinateur sur Debian GNU/Linux et Ubuntu est apparu en premier sur crowd42.

Related posts:

  1. Installer le bureau de Linux Deepin sur votre Ubuntu ou Debian GNU/Linux
  2. Restaurer votre mot de passe root oublié sous Ubuntu et Debian GNU/Linux
  3. Installer modem Inwi LG LDU 1900d et HDM-2100sous Debian et Ubuntu Gnu/Linux

26 Août 2013 à 19:59

Xubuntu 13.10 sera livré sans XMir via Ubuntuser

Dans une rencontre virtuelle qui a eu lieu jeudi dernier, la communauté de Xubuntu a décidé de ne pas faire de Mir et XMir le gestionnaire d'affichage par défaut pour la mouture 13.10, à venir au mois d'octobre. Oliver Ries et Thomas Voß, qui travaillent activement sur le projet Mir, ont d'abord fait un résumé de la situation. Des nouvelles fonctions et optimisations concernant la prise en charge de multiples moniteurs et du contournement de la composition graphique prennent davantage de temps à être déployées dans un PPA de test. De plus, une faille de sécurité majeure, dont la correction est critique, doit être complétée avant la sortie de la version stable d'Ubuntu 13.10. Ces révisions prennent davantage de temps que prévu, mais devraient être terminées pour la période de gel (FeatureFreeze) le 29 août. À partir de ce compte-rendu, les participants à la réunion ont procédé à un premier vote : l'équipe devrait-elle attendre le déploiement de ces améliorations à (X)Mir avant de prendre une décision quant au choix du gestionnaire d'affichage par défaut pour Xubuntu 13.10 ? À majorité, la proposition a été refusée. Selon la petite équipe de développeurs et de testeurs, la date de publication de la version finale de Xubuntu est trop proche pour se permettre un délais supplémentaire avant de faire un choix final. Beaucoup d'efforts ont été investis dans les tests de (X)Mir, et il est temps de se concentrer sur d'autres tests de Xubuntu en général, disent-ils. Sans surprise, un second vote (à savoir : Mir doit-il devenir le serveur graphique par défaut de Xubuntu 13.10 ?) a lui aussi eu un résultat négatif. Certes, Mir pourra être installé manuellement par les utilisateurs, mais le gestionnaire d'affichage par défaut demeurera X.Org pour la prochaine version de Xubuntu. Le passage à Mir pourra être réévalué pour Xubuntu 14.04, quand le projet sera davantage mature et testé. Source : Xubuntu community meeting, 22 Aug

Attention : cet article présente des manipulations peuvent casser votre système, ou vous empêcher d’ouvrir votre session, si elles sont mal exécutées !

Après avoir publié mon récent billet Restaurer votre mot de passe root oublié sous Ubuntu et Debian GNU/Linux, et à en croire les emails que j’ai reçu, beaucoup se sont étonnés que les distributions GNU/Linux, se sont pas aussi protégées out of the box comme ils le pensaient. En effet dès que les gens ont un accès physique à ta machine, les plus malins trouveront toujours un moyen pour contourner les mesures de sécurité mises en place. Mais pas de panique, il existe plusieurs méthodes qui permettent de renforcer la protection de votre distribution.

Parmi ces techniques, je peux vous citer par exemple le mot de passe pour bios (qu’on peut facilement bypasser !), le chiffrement des partitions ou encore protéger le bootloader (grub2) par un mot de passe. C’est cette dernière technique que je vais détailler aujourd’hui. Je reviendrai sûrement les jours (semaines ?) qui viennent à la deuxième.

Comme c’est marqué dans le titre de l’article, c’est Grub2 qui est concerné ici, si vous n’êtes pas certains de la version installée sur votre distro, exécutez cette commande :

grub-install -v

Si c’est la version 1.99 ou ultérieure qui est installé, alors vous pouvez continuer la lecture de ce billet, autrement faite une upgrade du grub.

Avant de commencer, faites une sauvegarde du fichier /etc/grub.d/00_header comme ça en cas de souci, vous pouvez réparer les dégâts.

Éditer /etc/grub.d/00_header, à la fin du fichier ajouter les lignes ci-dessous :

cat << EOF
set superusers="crowd42"
password user motDePasse
EOF

Si vous d’autres personnes utilisent votre ordinateur, et que vous ne souhaitez pas leur filer les identifiants du compte admin(superuser) qu’on vient de créer, alors vous voudrez peut-être leurs créer des comptes. Dans ce cas, voici les lignes que vous devez ajouter :

cat << EOF
set superusers="crowd42"
password crowd42 motDePasse
password foo motDePasseDeFoo
password bar motDePAsseDeBar
EOF

Cependant, un risque subsiste. En effet, les mots de passe sont sauvegardés en clair, ce qui est pas très prudent. Heureusement, les développeurs de Grub2 y ont pensé et ils ont intégré une fonction qui résout ça.

grub-mkpasswd_pbkdf2

Ensuite, nous allons copier/coller le hash retourné par la commande précédente dans notre fichier /etc/grub.d/00_header :

cat << EOF
set superusers="crowd42"
password pbkdf2 crowd42 grub.pbkdf2.sha512.10000.D911754F2299C60356FB0092A3ABA16D0B754BDCE227DD35CAAC6D10B6
EOF

Reproduisez cette action avec tous les autres utilisateurs que vous avez ajouté à Grub2, on est jamais à l’abri d’une mauvaise surprise ;)

Ajouter un mot de passe à Grub2 pour mieux protéger votre distribution Ubuntu

Cet article Ajouter un mot de passe à Grub2 pour mieux protéger votre distribution Ubuntu est apparu en premier sur crowd42.

No related posts.

Bonjour à toutes et à tous !

L'équipe entière est heureuse de vous présenter le numéro 71 du Full Circle, celui de mars 2013, en français. Cela nous prend tant de temps parce que les membres assidus de l'équipe sont peu nombreux et que nous visons l'excellence...

Vous pouvez le lire ou le télécharger ici ou le télécharger tout simplement en cliquant sur l'image ci-dessous.

issue71fr.png

Parmi les nouveautés ce mois-ci, vous trouverez :

  • Un tutoriel sur l'usage du Personal Ancestral File, ou PAF, créé par l'Église mormone, qui sert de base à beaucoup de logiciels sur la généalogie. Puisque la version 5.2, la seule actuellement disponible à notre connaissance, n'est pas traduite en français, nous avons laissé les termes du menu, etc. en anglais, suivis de leur équivalent en français ;
  • Une présentation de Crunchbang Linux - le nom même est très évocateur - dans la rubrique Labo Linux ;
  • Des critiques, dont une d'Ubuntu Touch qui vous donnera envie de le télécharger sur votre téléphone Android (Command & Conquer) ; qui plus est, le Petit Nouveau en parle aussi ;
  • Une critique littéraire de Python for Kids, cette fois-ci écrite par Copil. Sa thèse est que, si, grâce à ce livre, il peut comprendre et programmer un petit jeu, alors ce ne doit pas être sorcier pour les enfants...

Et je ne parle pas des tutoriels et des rubriques habituels. Bref, encore une fois, le FCM-fr est plein à craquer de choses géniales.

Nous vous en souhaitons bonne lecture,

Toute l'équipe du FCM-fr, dont Bab, scribeur et relecteur, FredPhil91 et moi-même pour les traductions et, pour les relectures (oui, c'est au pluriel : il en faut 5 ou 6 par article), Bab, diogene, Ekel, Tiboo, Wees et moi-même, AuntieE

P.S. En fait, sauf un peu d'aide par-ci, par-là, cinq personnes ont vraiment contribué à ce numéro : n'hésitez pas à vous joindre à nous !

La campagne de financement participatif du projet de smartphone de Canonical, Ubuntu Edge, est désormais terminée. L'objectif, qui était de récolter 32 millions $ sur un mois, n'a malheureusement pas été atteint. Ce sont finalement 27 633 "fondateurs" qui ont soutenu le projet. Parmi eux, nombreux sont ceux qui ont mis en gage l'argent nécessaire à l'obtention du smartphone lorsqu'il aurait été prêt, mais plusieurs ont aussi fait une promesse d'achat pour un chandail, voire verser un montant d'encouragement. Des participations du groupe financier Bloomberg et de plusieurs autres plus petites entreprises ont été enregistrées. La campagne s'est terminée avec un peu plus de 12,8M$ amassés. Des propres mots de Jono Bacon, le gestionnaire de la communauté Ubuntu, l'objectif des 32 M$ était incroyablement ambitieux. Cependant, il est nécessaire de se rappeler que le financement d'un projet de smartphone de première classe comme Ubuntu Edge requiert un important investissement (et le montant de 32 M$ ne couvrait même pas les coûts liés à l'ingénierie logicielle et à la gestion du projet, qu'aurait couvert Canonical). De son côté, Mark Shuttleworth, le fondateur d'Ubuntu, a remercié les contributeurs dans la dernière infolettre envoyée par la campagne. Il a annoncé que même si Ubuntu Edge ne voit pas le jour, on peut tout de même s'attendre à voir des smartphones avec Ubuntu Touch montrer le bout de leur nez en 2014. Il demeure convaincu qu'un tel soutien à la campagne a démontré à l'industrie que beaucoup sont intéressés par l'objectif de convergence tel qu'envisagé par Canonical. Jono Bacon a lui aussi publié une rétrospection positive. La campagne a battu des les records en matière de financement participatif, dont celui du plus grand montant récolté. De nombreux articles dans la presse ont paru durant toute la campagne : CNBC, Engadget, The Independent, TechCrunch, la BBC, T3, Stuff, The Verge, The Guardian, Wired, pandodaily, Fast Company, Forbes, The Telegraph -- ce qui ne compte pas la presse francophone. Ubuntu et Ubuntu Touch ont donc encore eu de l'exposition, ce qui est positif en bout de ligne. Puisque l'objectif de financement n'a pas été atteint, tous les participants seront remboursés. Mark Shuttleworth a eu la garantie de Paypal que les remboursements seront fait au courant des cinq prochains jours.

Quand un régime un peu trop allergique à la liberté d’expression sur Internet, décide de censurer un site, il le fait souvent en activant le filtrage au niveau des DNS des FAI. La vidéo ci-dessous explique le fonctionnement des DNS, pour mieux comprendre cette technique de censure.

Cependant, le contournement de cette technique de filtrage est à la portée de Monsieur tout le monde. D’ailleurs, même si vous vivez dans la plus grande et transparente démocratie du monde, pour des raisons de fiabilité, il est plus que recommandable de changer les DNS que les FAI fournissent habituellement.

Les alternatifs ne manquent pas, je vous ai déjà parlé de celui fourni par les hacktivistes de Telecomix. Mais apparemment, et sauf erreur de ma part, ce service ne semble plus être maintenu. Et vous avez sûrement entendu parler des DNS de Google. Cependant, et sauf si vous tenez à partager avec lui l’historique de votre navigation, je vous conseille de l’éviter. Un autre service populaire aussi populaire que celui de Google chez les internautes, c’est OpenDNS. Je l’ai utilisé longtemps, jusqu’à ce que je lise ce billet de Stéphane Bortzmeyer. Sans compter tous les resolvers, mis en place par des personnes auto-hébergés et qui les partages.

Et puis il y a OpenNic Project, un projet détenu et gouverné par une large communauté d’utilisateurs, dont l’objectif est d’offrir un service fiable, rapide et gratuit. En fait, on peut comparer OpenNic à l’ICANN, car non seulement ses DNS permettent de résoudre les TLD de la dernière, mais les serveurs root dont il dispose, permettent de résoudre plein d’autres TLD créés par la communauté comme : .geek, .libres, bbs, null, gopher… etc. Et si vous souhaitez ajouter votre propre TLD (genre .trucmachin), c’est tout à fait possible. La seule condition exigée pour qu’il soit approuvé,  c’est qu’il dispose de son propre serveur root qui le résout.

Pour changer vos DNS sur Debian GNU/LInux, Ubuntu, Fedora ou toute autre distribution qui utilise NetworkManager, il suffit d’appuyer sur Alt-F2 et de saisir et exécuter nm-connection-editor :

nm

Choisissez votre connexion, puis cliquer sur Modifier. Dans le menu déroulant Méthode sélectionnez Adresses automatiques uniquement. Enfin, dans le champ Serveurs DNS, saisissez ceux que vous avez récupéré sur la page d’accueil du site. OpenNic a la gentillesse de vous proposer les DNS les plus proches géographiquement de vous !

NM1

Il ne vous reste maintenant qu’à enregistrer les modifications et de vous reconnecter. Si vous avez une question, n’hésitez pas à la poster dans les commentaires :)

Cet article Vous cherchez un service DNS fiable et rapide ? Essayez ceux de OpenNic Project est apparu en premier sur crowd42.

Related posts:

  1. Raspberry PI : vous ne savez pas par où commencer ? Éssayez NOOBS
  2. Essayez Final Term, un terminal très moderne
  3. Les thèmes de Bisigi Project, bientôt portés vers Gnome 3

Attention : cet article présente des manipulations, si mal exécutées, elles peuvent casser votre système !

Il n’est pas de rare de croiser sur les forums des différentes distributions, des utilisateurs qui ne se souviennent plus de leurs mots de passe root. Malheureusement, certaines personnes n’ont pas ce réflexe d’aller chercher sur le Web une solution à leur problème, ou d’ouvrir un topic sur un forum pour demander l’aide, et préfèrent passer direct au mode bourrin et réinstaller leurs distros.

Pourtant, restaurer le mot de passe de root n’est pas une tâche impossible ou même difficile, et dans les pires des cas, ça ne vous prendra pas plus de 10 minutes. Voici donc un petit tutoriel, pour vous montrer comment récupérer votre mot de passe root.

La première chose à faire, c’est de booter votre distro en mode dépannage (recovery mode). Pour ça, appuyer sur la touche shift quand vous démarrez votre ordinateur, afin de faire apparaître le menu Grub. Une fois c’est fait, sélectionnez recovery mode puis appuyez sur e.  Repérez la ligne qui commence par « linux /boot/vmlinuz-…….”, et à sa fin ajouter init /bin/bash. Enfin, appuyez sur Ctrl-X et attendez que la séquence de démarrage se termine.

Dans le mode dépannage, la partition root est monté en lecture seulement. Il faut donc la remonter en écriture et lecture pour qu’on puisse restaurer le mot de passe root.

Première chose à faire, c’est de trouver la partition root, pour exécuter cette ligne de commande :

fdisk -l

Périphérique Amorce  Début        Fin      Blocs     Id  Système
/dev/sda1     *      1            1028159 51206144 83    Linux
/dev/sda2            1028160      ...      ...       ... ...
...

La partition qui nous intéresse est celle qui a le signe astérisque (*), donc la /dev/sda1.

mount -o remount,rw /dev/sda1 /

Maintenant on peut changer le mot de passe en exécutant la commande suivante :

passwd

Voilà, j’espère que ce tuto vous sera utile et qu’il vous sauvera un de ces jours ;)

Cet article Restaurer votre mot de passe root oublié sous Ubuntu et Debian GNU/Linux est apparu en premier sur crowd42.

No related posts.

17 Août 2013 à 20:33

Xubuntu avec XMir en test via Ubuntuser

L'équipe de Xubuntu évalue toujours le passage à XMir pour la version 13.10 de la distribution. Un membre de la communauté, Unit193, a assemblé une image ISO de l'actuelle version de développement de Xubuntu incluant directement XMir, afin qu'un maximum de testeurs puissent facilement faire des retours d'expérience. Contrairement à Ubuntu, qui a annoncé la transition vers le serveur graphique Mir (avec la couche de compatibilité XMir) dès la prochaine version stable en octobre prochain, et à Kubuntu et Lubuntu, qui ont déclaré n'avoir aucune intention de prendre en charge Mir/XMir, l'équipe de Xubuntu s'est contenté jusqu'à présent de jouer la carte de l'observateur. Elle tient à étudier les avancées de Mir et Xmir, et à effectuer des tests de performances avant de prendre une décision. Bruno Benitez a publié, au début du mois, un message dans la liste de diffusion xubuntu-devel présentant une image ISO de test incluant de base Mir et XMir. Cette image, une fois décompressée sur une clé USB ou gravée dans un DVD, permet donc l'utilisation d'une session live de Xubuntu avec XMir. (Prenez note, toutefois, qu'un test en machine virtuelle est inutile puisque, XMir ne prenant pas encore en charge les machines virtuelles, X.Org prendra automatiquement la relève.) Benitez encourage le plus de testeurs possible à essayer Xubuntu avec XMir dans un maximum de configurations système imaginables. Ceci permettra à l'équipe de développeurs de comprendre comment Xubuntu se comporte dans un environnement XMir et, à la lumière de ces tests, de décider si la branche principale de Xubuntu transitera de X.Org vers XMir plus tard ce mois-ci.  

Pas de panique : la transition n'est pas officielle

Suivant l'annonce dans la liste de diffusion, plusieurs ont exprimé leur doute et leur négativité face à cette amorce de transition. Pour remettre les pendules à l'heure, Pasi Lallinaho, le chef du projet Xubuntu, a publié une mise au point dans son blog personnel. Il rappelle que l'image ISO générée par Unit193 est une image non officielle. Ce travail fort utile avait déjà été envisagé dans une réunion tenue par les développeurs de Xubuntu en juillet, et consiste en une image parallèle à l'image officielle. Les images officielles continuent d'être fournies avec X.Org et, pour le moment, rien dans les routines de mises à jour habituelle ne remplace X.Org par Mir et XMir. Une discussion plus sérieuse concernant le transition ou non vers Mir et XMir dans Xubuntu 13.10 aura lieu lors des prochaines réunions des développeurs de Xubuntu, les 15 et 22 août prochains.

Le premier numéro spécial dédié à LibreOffice est maintenant disponible en français. Vous pouvez le télécharger ici ou en cliquant directement sur l'image ci-dessous.

NS_LibreOffice1.png

Bonnes fins de vacances et amusez-vous bien !

backup

Quiconque s’auto-héberge doit maintenir un système de sauvegarde de son serveur, permettant de tout remettre en place dans le cas d’un crash de disque dur, d’un piratage ou d’un cambriolage.

Objectifs

Il est nécessaire de sauvegarder à la fois des fichiers (les mails, les services hébergés, les fichiers de config…) et le contenu de bases de données (associées aux services hébergés).

Le système de sauvegarde doit conserver les archives durant un certain temps (par exemple 2 mois). En effet, un piratage ou une erreur de manipulation peuvent n’être détectés que quelques jours plus tard : il est important de pouvoir restaurer un état antérieur.

La sauvegarde doit être régulière (par exemple quotidienne).

Seule une infime partie des données étant modifiées d’un jour à l’autre, la sauvegarde a tout intérêt à être incrémentale.

Pour résister aux cambriolages, une sauvegarde doit être réalisée sur (au moins) une machine distante. Il est donc préférable que ces données soient chiffrées.

Duplicity

Vous l’aurez compris, duplicity répond à tous ces besoins.

Je ne vais pas expliquer tout ce qu’il sait faire, mais plutôt comment je l’utilise et pourquoi.

Mes choix d’utilisation

Sauvegarde locale

Personnellement, je n’effectue qu’une sauvegarde locale dans une tâche cron, c’est-à-dire que les fichiers de backups sont stockés sur le serveur lui-même.

En effet, une sauvegarde automatique vers un serveur distant, par SSH par exemple, nécessiterait une clé privée en clair sur le serveur. Cette configuration ne résisterait pas à certains piratages : une intrusion sur le serveur donnerait également accès aux sauvegardes, permettant à un pirate d’effacer à la fois les données et les backups.

C’est donc une autre machine, à l’initiative de la connexion, qui rapatrie les backups. Évidemment, elle ne doit pas synchroniser localement les backups supprimés du serveur (elle serait vulnérable à la suppression des backups par un pirate), mais doit plutôt supprimer les anciennes sauvegardes de sa propre initiative.

Chiffrement

Duplicity utilise GPG pour le chiffrement, permettant :

Le premier choix nécessite à la fois quelque chose que je possède (la clé, de forte entropie) et quelque chose que je connais (la passphrase, de plus faible entropie). Le second ne nécessite que la passphrase à retenir.

L’utilisation d’une clé privée autorise donc une meilleure sécurité, notamment si vous souhaitez envoyer vos backups sur un serveur américain.

Néanmoins, les backups sont surtout utiles lors de la perte de données, notamment dans le cas d’un cambriolage, où la clé GPG a potentiellement également disparu. Et les sauvegardes distantes ne seront d’aucune utilité sans la clé…
Il peut donc être moins risqué d’opter, comme je l’ai fait, pour une simple passphrase.

À vous de placer le curseur entre la protection de vos données et le risque de ne plus pouvoir les récupérer.

Installation

Sur une Debian :

sudo apt-get install duplicity

Fonctionnement

Duplicity effectue des sauvegardes complètes et incrémentales. Les sauvegardes incrémentales nécessitent toutes les sauvegardes depuis la dernière complète pour être restaurées.
Personnellement, j’effectue une sauvegarde complète tous les mois, et une incrémentale tous les jours.

Pour choisir le mode :

  • duplicity full … force une sauvegarde complète ;
  • duplicity incr … force une sauvegarde incrémentale (échoue si aucune complète n’est trouvée) ;
  • duplicity … effectue une sauvegarde incrémentale si possible, complète sinon.

Exemple (à exécuter en root pour avoir accès à tous les fichiers) :

duplicity / file:///var/backups/duplicity/ --include-globbing-filelist filelist.txt --exclude '**'

Duplicity va sauvegarder à partir de la racine ("/") tous les fichiers selon les règles d’inclusion et d’exclusion définies dans filelist.txt. Ce fichier contient simplement la liste des fichiers et répertoires à sauvegarder, ainsi que ceux à exclure. Par exemple :

/usr/local/bin/ /home/rom/Maildir/ /home/rom/.procmailrc - /var/www/blog/wp-content/cache/ /var/www/blog/

Attention : les fichiers et répertoires à exclure doivent apparaître avant l’inclusion d’un répertoire parent. En effet, duplicity s’arrête à la première règle qui matche un chemin donné pour déterminer s’il doit l’inclure ou l’exclure.

Pour restaurer :

duplicity restore file:///var/backups/duplicity/ /any/directory/

(utiliser l’option -t pour restaurer à une date particulière)

Pour supprimer les anciennes sauvegardes (ici de plus de 2 mois) :

duplicity remove-older-than 2M file:///var/backups/duplicity/ --force

Bases de données

Tout comme pour les fichiers, il est préférable de sauvegarder incrémentalement les bases de données (seule une toute petite partie des données change d’un jour à l’autre).

Une première solution serait d’utiliser la fonctionnalité-qui-va-bien de votre SGBD.

Mais si le contenu de vos bases de données ne dépasse pas quelques Go (ce qui est très probable pour de l’auto-hébergement), duplicity permet de faire beaucoup plus simple.

Il suffit en effet de générer un dump complet des bases de données vers des fichiers .sql et d’inclure leur chemin dans la liste des fichiers à sauvegarder. Et là, c’est magique, duplicity va ne sauvegarder que les parties de ces (gros) fichiers qui ont changées, grâce à rsync et à son algorithme qui utilise des rolling checksums.

Bien sûr, il ne faut pas compresser ces fichiers avant de les donner à manger à duplicity (sinon l’intégralité du fichier risque de changer) ; c’est lui qui va s’en charger. De même, il vaut mieux éviter d’inclure dans les fichies SQL des informations liées au dump, comme sa date de génération.

Pour exporter une base de données MySQL par exemple :

mysql -uroot -ppassword --skip-comments -ql my_database > my_database.sql

Script

Il reste donc à écrire un script qui exporte les bases de données et qui appelle duplicity avec la liste de ce qu’il y a à sauvegarder.

Voici un prototype, à sauvegarder dans /usr/local/bin/backup :

#!/bin/bash BACKUP_HOME=/var/backups TMP_DBDIR="$BACKUP_HOME/dbdump" BACKUP_DIR="$BACKUP_HOME/duplicity" MYSQLPW=mon_password_mysql PASSPHRASE=ma_passphrase_de_chiffrement_des_backups DATABASES='blog autre_base' FILELIST="/usr/local/bin/ /home/rom/Maildir/ /home/rom/.procmailrc - /var/www/blog/wp-content/cache/ /var/www/blog/ $TMP_DBDIR/" # databases mkdir -p "$TMP_DBDIR" for dbname in $DATABASES do printf "## Dump database $dbname...\n" mysqldump -uroot -p"$MYSQLPW" --skip-comments -ql "$dbname" \ > "$TMP_DBDIR/$dbname.sql" done # duplicity printf '## Backup using duplicity...\n' unset mode [ "$1" = full ] && mode=full && printf '(force full backup)\n' mkdir -p "$BACKUP_DIR" export PASSPHRASE duplicity $mode / file://"$BACKUP_DIR"/ \ --include-globbing-filelist <(echo "$FILELIST") --exclude '**' printf '## Delete old backups\n' duplicity remove-older-than 2M file://"$BACKUP_DIR"/ --force # backups are encrypted, we can make them accessible chmod +r "$BACKUP_DIR"/*.gpg # remove temp files rm "$TMP_DBDIR"/*.sql

Une fois configuré, ne pas oublier de tester : exécuter le script et restaurer les données dans un répertoire de test, puis vérifier que tout est OK. Cette vérification doit être effectuée de temps en temps : il serait dommage de s’apercevoir, lorsqu’on en a besoin, que les backups sont inutilisables ou qu’un répertoire important a été oublié.

Cron

Pour démarrer automatiquement une sauvegarde complète le premier jour du mois et une incrémentale tous les autres jours, cron est notre ami :

sudo crontab -e

Ajouter les lignes :

0 1 1 * * /usr/local/bin/backup full 0 1 2-31 * * /usr/local/bin/backup

La première colonne correspond aux minutes, la deuxième aux heures : le script sera donc exécuté à 1h du matin. La 3e correspond au numéro du jour dans le mois. Les deux suivantes sont le numéro du mois dans l’année et le jour de la semaine.

Il peut être préférable d’exécuter le script en priorité basse :

0 1 1 * * nice -15 ionice -c2 /usr/local/bin/backup full 0 1 2-31 * * nice -15 ionice -c2 /usr/local/bin/backup

Copies

Il ne reste plus qu’à effectuer des copies des fichiers de backups ailleurs.

À partir d’une autre machine, le plus simple est d’utiliser rsync (sans l’option --delete !) :

rsync -rvP --stats -h server:/var/backups/duplicity/ /my/local/backup/

Pour supprimer les anciens backups sur cette machine, c’est la même commande que sur le serveur :

duplicity remove-older-than 2M file:///my/local/backup/ --force

Conclusion

La génération de sauvegardes à la fois incrémentales et chiffrées, y compris pour les bases de données, font de duplicity une solution de backup idéale pour l’auto-hébergement.

Je l’utilise depuis plusieurs mois, et j’en suis très satisfait (même si je n’ai pas encore eu besoin de restaurer les backups en situation réelle).

À vos backups !

Pages