Tento tutoriál vám ukáže, jak zálohovat data na serveru, který je označen jako hlavní server , na jiného hostitele, zde s názvem záložní server , pomocí bezplatného zálohovacího programu Borg . Záložní server bude nakonfigurován tak, aby hlavní server při běžném používání mohl pouze přidávat nová data a ne odstraňovat ani měnit staré zálohy. Tato funkce pouze připojuje v kombinaci se skutečností, že zálohy jsou uloženy na samostatném serveru v odděleném umístění, činí zálohy chráněné proti ztrátě dat například při přírodních nehodách nebo hackerském útoku na hlavní server.
Předpokladem pro dodržování tohoto průvodce je použití Debian Stretch (9) nebo Debian Buster (10) a mají k dispozici dva servery, jeden hlavní server ze kterého se zálohy přebírají, a další server záloh kde budou uloženy zálohy. Pro optimální ochranu by tyto dva servery měly být na oddělených místech.
Tato příručka začne konfigurací na záložním serveru v první části. Ve druhé části nakonfigurujeme hlavní server a poté provedeme zálohu, testovací obnovu a ukážeme, jak ručně odstraňovat staré zálohy.
1 Konfigurace serveru záloh
1.1 Nainstalujte borg a vytvořte nového uživatele borgbackup
Na záložní server (server, kde by měly být zálohy uloženy) nainstalujte Borg do kořenového terminálu pomocí tohoto příkazu:
apt install borgbackup
Poté zvolte heslo pro uživatele borgu, které brzy vytvoříme. (Je povinné mít heslo pro každého uživatele, ale toto heslo nebude téměř nikdy použito, protože se normálně připojujeme k záložnímu serveru pomocí klíče SSH.) Pokud chcete vygenerovat náhodné 64znakové heslo, použijte tento příkaz :
< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-64};echo; Zkopírujte zobrazené heslo pro uživatele borg do schránky a uložte jej na bezpečné místo někde jinde než na samotném serveru.
Nyní vytvoříme uživatele borgbackup:
adduser borgbackup
Když dostanete otázku ohledně hesla, vložte heslo, které jste zkopírovali dříve, stiskněte Enter a poté vložte heslo znovu a poté Enter. Nevyplňujte nic jiného, pouze stiskněte Enter a odpovězte na následující otázky.
1.2 Generování klíčů SSH pro uživatele borgbackup
Nyní se musíme stát novým uživatelem s su:
su borgbackup
cd
Poté pro uživatele vygenerujeme nový pár klíčů SSH:
ssh-keygen -t ed25519
Po stisknutí klávesy Enter se zobrazí řada otázek. Odpovědi ponechte prázdné, pouze několikrát stiskněte Enter, dokud nebude příkaz dokončen. Nenastavujte pro klíč žádnou přístupovou frázi, stiskněte Enter také u této otázky.
1.3 Vytvoření záložního adresáře
Nyní je čas vytvořit adresář, kam se budou ukládat zálohy, což je v terminologii borgů definováno jakoúložiště borg . Adresář jednoduše nazveme borgbackup, ale místo toho jej můžete pojmenovat podle názvu hostitele vašeho hlavního serveru.
cd
mkdir borgbackup
chmod go-rwx borgbackup
chmod u+rwx borgbackup
2 Nastavení hlavního serveru a způsobu jeho připojení k záložnímu serveru
2.1 Instalace Borg
Nyní přejdeme od práce na záložním serveru k práci na hlavním serveru.
Na hlavní server (server, ze kterého chcete zálohovat) nainstalujte Borg do kořenového terminálu pomocí tohoto příkazu:
apt install borgbackup
Později budeme potřebovat externí IP adresu hlavního serveru (toho, na kterém se nacházíme). Zkopírujte prosím tuto IP adresu, abyste ji měli snadno dostupnou. Pokud si nepamatujete externí IP adresu hlavního serveru, spusťte tento příkaz pro její zobrazení:
wget -qO- http://ipecho.net/plain | xargs echo
2.2 Povolit hlavnímu serveru přístup k záložnímu serveru
Příkazy, které spouštíte na hlavním serveru
Nyní připravíme autentizaci pomocí SSH klíče, aby bylo možné se připojit z hlavního serveru na záložní server. Nejprve použijte tento příkaz k zobrazení veřejného klíče SSH uživatele root na hlavním serveru:
cat ~/.ssh/id_*.pub
Pokud máte veřejný klíč SSH pro root, měl by se nyní zobrazit tento klíč. Zkopírujte klíč do schránky, budete jej muset později vložit do souboru na záložním serveru.
Pokud nevidíte klíč zobrazený, musíte pár klíčů vygenerovat. V takovém případě spusťte například tento příkaz:ssh-keygen -t ed25519 následuje opakované stisknutí klávesy Enter.
Nyní musíme říci záložnímu serveru, aby povolil přístup z hlavního serveru (kde se právě nacházíme) pomocí veřejného klíče SSH. Chcete-li to provést, zadejte tento příkaz, ale nejprve nahraďte BACKUPHOSTNAME s názvem hostitele vašeho záložního serveru:
ssh-copy-id -i ~/.ssh/id_*.pub [email protected]BACKUPHOSTNAME
Připojte se k záložnímu serveru
Nyní budete muset zadat heslo pro uživatele borgbackup, které jste vytvořili v kroku 1.1. Poté by mělo být možné přímo přistupovat k záložnímu serveru jako uživatel borgbackup bez jakéhokoli hesla. Nyní otestujte, zda je to možné, zadáním tohoto příkazu a nahrazením BACKUPHOSTNAME názvem hostitele vašeho záložního serveru:
ssh [email protected]BACKUPHOSTNAME
Příkazy, které spouštíte na záložním serveru
Nyní ještě více zpřísníme zabezpečení tím, že omezíme přístup pouze z IP adresy hlavního serveru pomocí tohoto klíče.
Zůstaňte na záložním serveru a spusťte tento příkaz:
nano ~/.ssh/authorized_keys
Nyní byste měli vidět dlouhý řádek, který začíná ssh. Ověřte, zda je kurzor na začátku souboru. Přidejte následující data na stejný řádek před klíč ssh, ale nejprve nahraďte SERVERIPADDRESS s IP adresou vašeho serveru (kterou jste zkoumali na začátku této části):
from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc
Ujistěte se, že mezi sekcí, kterou jste přidali, a již existující sekcí začínající ssh, která následuje poté, je mezera. Poté soubor uložte pomocí Ctrl+O a ukončete pomocí Ctrl+X. Nyní jsme omezili přístup k záložnímu serveru dvěma způsoby. Za prvé, přístup je povolen pouze na IP adresu hlavního serveru. Za druhé, prostřednictvím volby --append-only je povoleno pouze přidávat data do borgského úložiště, ale mazání a změny nejsou povoleny.
Odpojte se od záložního serveru a vraťte se na hlavní server
Spuštěním tohoto příkazu ukončíte záložní server a vrátíte se zpět na hlavní server:
exit
2.3 Vyberte si heslo úložiště Borg
Úložiště borgů je místo, kde jsou uloženy zálohy. Je chráněn heslem úložiště Borg, které si musíte vybrat. Heslo je potřeba k provádění nových záloh a přístupu ke starým. Heslo můžete vymyslet sami (pro optimální zabezpečení zvolte minimálně 20 znaků) nebo náhodně vygenerovat heslo dlouhé 64 znaků pomocí tohoto příkazu:
< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-64};echo; Zkopírujte heslo úložiště borgů do schránky tak, že je označíte a stisknete Ctrl+C. Je nezbytné uložit heslo úložiště borg na bezpečném místě, protože bez tohoto hesla nemáte přístup k zálohám! Uložte si tedy kopii borgského hesla právě teď někde jinde než na vašich serverech, například ve správci hesel (jako je KeePass) na vašem vlastním počítači.
2.4 Vytvoření úložiště Borg
V terminologii Borgů se místo, kde jsou zálohy uloženy, nazývá borg úložiště . Heslo bude nyní nastaveno jako proměnná prostředí při přípravě vytvoření tohoto úložiště. Nahraďte PASSWORD s vaším skutečným heslem a spusťte níže uvedený příkaz jako uživatel root vašeho hlavního serveru:
export BORG_PASSPHRASE='PASSWORD'
Tímto způsobem vytvořte úložiště borgů - ale nejprve nahraďte BACKUPHOSTNAME s názvem hostitele vašeho záložního serveru:
borg init -e repokey-blake2 [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/
Vše je nyní připraveno k použití borg pro zálohování, což bude tématem následující sekce.
3 Záloha z hlavního serveru
3.1 Ruční spuštění zálohování
V příkladu, který následuje, bude zálohován celý systém hlavního serveru, kromě určitých adresářů, které nejsou pro zálohování relevantní.
Než budete pokračovat, ujistěte se, že jste přihlášeni jako root na svém hlavním serveru. Nejprve tímto příkazem nastavíme proměnnou prostředí pro heslo úložiště borg (nahraďte PASSWORD s vaším skutečným heslem borgského úložiště:
export BORG_PASSPHRASE='PASSWORD'
Poté spustíme následující příkaz k provedení úplné zálohy systému. Upravte prosím vyloučení adresářů, která začínají --exclude, svým potřebám. Můžete například chtít přidat vyloučení adresáře /mnt přidáním --exclude=mnt. Upozorňujeme, že byste neměli zadávat první lomítko ve vzoru vyloučení, např. místo /mnt napíšete mnt. Musíte také změnit BACKUPHOSTNAME na skutečný název hostitele vašeho záložního serveru. Nejprve musíme spustit příkaz cd /, protože borg normálně spouští zálohu z adresáře, ze kterého je spouštěn.
cd / && borg create --stats --progress --compress lz4 [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/::`hostname`-`date +%Y-%m-%d-%H-%M-%S` ./ --exclude=dev --exclude=mnt/borgbackup -exclude=proc --exclude=run --exclude=root/.cache/ --exclude=sys --exclude=tmp && cd
První spuštění zálohování bude chvíli trvat (až několik hodin, pokud máte k zálohování velké množství dat). Uvidíte stavový řádek, který rychle aktualizuje, který soubor borg v záloze zpracovává. Od druhé zálohy budou zálohy mnohem rychlejší, protože budou přenášeny pouze změny od poslední zálohy.
3.2 Naplánování zálohování pomocí cronu
Je samozřejmě nejlepší spouštět automatické zálohování v pravidelných intervalech, spíše než pamatovat na spouštění ručních záloh. Abychom toho dosáhli, nejprve vytvoříme skript shellu, který spustí úlohu zálohování, kterou poté upravíme pomocí editoru nano jako uživatel root na hlavním serveru:
touch /usr/local/bin/borgbackup.sh
chmod go-rwx /usr/local/bin/borgbackup.sh
chmod u+rwx /usr/local/bin/borgbackup.sh
nano /usr/local/bin/borgbackup.sh
Vložte tyto řádky do nového skriptu shellu:
#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
cd / && borg create --stats --progress --compress lz4 [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/::`hostname`-`date +%Y-%m-%d-%H-%M-%S` ./ --exclude=dev --exclude=proc --exclude=run --exclude=root/.cache/ --exclude=mnt/borgmount --exclude=sys --exclude=tmp && cd
Musíte nahradit PASSWORD heslem svého úložiště borg nahraďte BACKUPHOSTNAME s názvem hostitele vašeho záložního serveru a nakonec upravte vzory vyloučení podle svých potřeb – možná budete chtít přidat --exclude=mnt, abyste ze zálohy vyloučili adresář /mnt. Uložte soubor v nano editoru stisknutím Ctrl+O a poté ukončete pomocí Ctrl+X.
Dále otestujte skript jeho spuštěním z terminálu:
/usr/local/bin/borgbackup.sh
Chcete-li naplánovat zálohování na 02:00 každou noc, přidejte skript záložního shellu, který jsme právě vytvořili, do /etc/crontab:
nano /etc/crontab
Poté přidejte nový řádek do crontab s úlohou zálohování:
# Backup via Borg to backup server
00 02 * * * root /usr/local/bin/borgbackup.sh
4 Obnovení souborů (při přihlášení na hlavním serveru)
4.1 Zobrazit seznam vytvořených záloh
Dokud neověříte, že můžete obnovit data ze záloh, nebudete mít funkční zálohovací systém. Proto je naším dalším krokem kontrola zálohy, kterou jsme vytvořili dříve. To bude provedeno z kořenového terminálu na hlavním serveru. Uděláme to tak, že připojíme zálohu jako další souborový systém, ale nejprve zkontrolujeme seznam záloh vytvořených vytvořením skriptu prostředí jako uživatel root na vašem hlavním serveru:
touch /usr/local/bin/borglist.sh
chmod go-rwx /usr/local/bin/borglist.sh
chmod u+rwx /usr/local/bin/borglist.sh
nano /usr/local/bin/borglist.sh
Do nového skriptu shellu vložte následující text a nahraďte PASSWORD s heslem vašeho úložiště borg a BACKUPHOSTNAME s názvem hostitele vašeho záložního serveru:
#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
borg list -v [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/
Uložte soubor pomocí Ctrl+O a následně Ctrl+X. Potom spusťte skript shellu tímto způsobem:
/usr/local/bin/borglist.sh
Nyní byste měli vidět seznam záloh, které byly vytvořeny. Pokud byla provedena vaše první záloha, měli byste v seznamu vidět jednu položku. Nyní označte a zkopírujte název archivu do schránky. Název archivu najdete v prvním sloupci, skládá se z názvu hostitele vašeho hlavního serveru, za nímž následuje datum a čas v tomto formátu:mainhostname-2019-01-31-12-59-59 .
3.4 Ověření/obnovení dat
Nyní připojíme celé úložiště borg jako připojení souborového systému FUSE. To znamená, že borgské úložiště – včetně všech souborů, které byly zálohovány – se stane souborovým systémem, který můžeme procházet a kontrolovat pomocí normálních příkazů, jako jsou ls a cd.
Aby bylo možné snadno připojit borgské úložiště, vytvoříme zástupce příkazů ve formě shell skriptu. Vytvořte a upravte skript shellu tímto způsobem:
touch /usr/local/bin/borgmount.sh
chmod go-rwx /usr/local/bin/borgmount.sh
chmod u+rwx /usr/local/bin/borgmount.sh
nano /usr/local/bin/borgmount.sh
Poté vložte řádky níže do skriptu schell, ale nejprve změňte HESLO níže na heslo svého úložiště borg a změňteBACKUPHOSTNAME na název hostitele vašeho záložního serveru:
#!/bin/sh
mkdir -p /mnt/borgbackup
export BORG_PASSPHRASE='PASSWORD'
borg mount [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/ /mnt/borgbackup
Uložte soubor pomocí Ctrl+O a následně Ctrl+X. Potom spusťte skript shellu tímto způsobem:
/usr/local/bin/borgmount.sh
Úložiště borg by nyní mělo být připojeno na /mnt/borgbackup – můžete to zkontrolovat pomocí cd a ls:
cd /mnt/borgbackup
ls
Nyní byste měli vidět adresář, ve kterém se nachází vaše záloha. Přejděte do tohoto adresáře pomocí cd (nahraďte DIRECTORYNAME názvem adresáře, který vidíte zobrazený jako výsledek příkazu ls, který jste právě zadali) a poté použijte ls k zobrazení obsahu:
cd DIRECTORYNAME
ls
Nyní budete moci vidět poslední archiv (poslední vytvořenou zálohu). Můžete porovnat s diff, že soubor byl zálohován správně, například pro /etc/fstab, pomocí tohoto příkazu:
diff etc/fstab /etc/fstab
Pokud z diffu nedostanete žádný výstup, jsou oba soubory totožné a záloha pro daný soubor fungovala. Pokud jste na druhou stranu změnili soubor od poslední zálohy, uvidíte, které řádky v souborech se liší.
Pokud chcete, můžete obnovit soubory ze zálohy jednoduše pomocí příkazu cp ke zkopírování souborů z podadresáře /mnt/borgbackup v ve kterém se právě nacházíte v terminálu.
Nakonec vytvoříme skript pro odpojení připojení borgské pojistky.
Vytvořte a upravte skript shellu tímto způsobem:
touch /usr/local/bin/borgumount.sh
chmod go-rwx /usr/local/bin/borgumount.sh
chmod u+rwx /usr/local/bin/borgumount.sh
nano /usr/local/bin/borgumount.sh
Poté vložte řádky níže do skriptu schell:
#!/bin/sh
cd ~
umount /mnt/borgbackup
rmdir /mnt/borgbackup
Uložte soubor pomocí Ctrl+O a následně Ctrl+X. Potom spusťte skript shellu tímto způsobem:
/usr/local/bin/borgumount.sh
Pojistka Borg je nyní odpojena a byli jste umístěni do adresáře /root/ na terminálu.
4 Oříznout staré zálohy (vyžadovat přístup k záloze i k hlavnímu serveru)
Nyní musíme přepínat tam a zpět mezi záložním serverem a hlavním serverem. Nejprve začneme s příkazy na záložním serveru.
Po chvíli se velikost záloh může zvětšit. Z bezpečnostních důvodů není povoleno, aby hlavní server automaticky odstraňoval staré zálohy. V případě potřeby však můžeme dočasně povolit odstranění starých archivů záloh, abychom ušetřili místo na disku na serveru záloh.
Tento proces odstraňování se v borgské terminologii nazývá prořezávání. Proces ořezávání začíná na záložním serveru a umožňuje dočasný přístup pro čtení a zápis. Poté se připojíme k hlavnímu serveru a vydáme příkaz prořezávání. Nakonec znovu přistoupíme k serveru záloh, abychom zakázali přístup pro čtení a zápis, aby byly staré zálohy znovu chráněny před smazáním nebo úpravou.
4.1 Povolit dočasný přístup pro čtení a zápis (provádí se ze záložního serveru)
Nyní budeme pracovat na záložním serveru.
Proto se připojte k záložnímu serveru a přihlaste se jako root. Abychom umožnili přístup pro čtení a zápis, musíme změnit soubor /home/borgbackup/.ssh/authorized_keys na záložním serveru. Vydejte tyto příkazy, abyste se stali uživatelem borgbackup, vytvořte zálohu souboru a poté soubor upravte pomocí nano:
su borgbackup
cd
cp -a ~/.ssh/authorized_keys ~/.ssh/authorized_keys.bak
nano ~/.ssh/authorized_keys
Nyní byste měli v editoru nano vidět dlouhý řádek, který začíná od=. Odřízněte čáru stisknutím Ctrl+K a poté stiskněte Ctrl+U a ještě jednou Ctrl+U, takže nyní máte dvě stejné čáry. Stiskněte dvakrát klávesu Nahoru na klávesnici a nastavte kurzor na první řádek. Poté zadejte znak #, abyste okomentovali první řádek. Poté stiskněte klávesu Dolů na klávesnici, abyste se dostali do druhého řádku. Zde byste se měli pohybovat doprava pomocí pravé klávesy na klávesnici, dokud se nepostavíte na první - pouze v --append-only. Poté opakovaným stisknutím klávesy Del odstraňte možnost --append-only . Soubor by měl vypadat přibližně takto, všimněte si, že jsme zakomentovali první řádek a že --append-only je smazáno z druhého řádku:
#from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ...
from="SERVERIPADDRESS",command="borg serve --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ..
Uložte soubor pomocí Ctrl+O a ukončete pomocí Ctrl+X. Nyní jsme povolili přístup pro čtení a zápis do úložiště borgů.
4.2 Oříznutí starých záloh (prováděno z hlavního serveru)
Nyní se připojte k hlavnímu serveru v novém okně terminálu jako uživatel root.
Nyní vytvoříme skript na hlavním serveru pro ořezání (tj. odstranění) starých záloh. Vytvořte a upravte skript shellu na hlavním serveru tímto způsobem:
touch /usr/local/bin/borgprune.sh
chmod go-rwx /usr/local/bin/borgprune.sh
chmod u+rwx /usr/local/bin/borgprune.sh
nano /usr/local/bin/borgprune.sh
Poté vložte řádky níže do skriptu shellu. Poté nahraďte PASSWORD s heslem vašeho úložiště borg a BACKUPHOSTNAME s názvem hostitele vašeho záložního serveru. Musíte také upravit, kolik starých záloh chcete zachovat. V tomto příkladu uchováváme 7 denních záloh, 4 týdenní zálohy a 12 měsíčních záloh.
#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
borg prune --stats --progress [email protected]BACKUPHOSTNAME:/home/borgbackup/borgbackup/ --prefix `hostname`- --keep-daily=7 --keep-weekly=4 --keep-monthly=12
Stiskněte Ctrl+O a Ctrl+X pro uložení a ukončení souboru. Poté spusťte skript pro Prune, který jste právě vytvořili na hlavním serveru:
/usr/local/bin/borgprune.sh
Tento příkaz bude chvíli trvat (může to být až několik hodin), ale pokrok, který na cestě dělá, můžete vidět ve dvou průchodech, než dosáhnete 100 %.
4.3 Zakázat přístup pro čtení a zápis (provádí se ze záložního serveru)
Nyní se vrátíme k práci na záložním serveru.
Po dokončení příkazu prune na hlavním serveru se nyní připojíte k záložnímu serveru jako uživatel borgbackup a znovu upravíte soubor /home/borgbackup/.ssh/authorized_keys, abyste zakázali přístup pro čtení a zápis.
Na záložním serveru postupujte takto:
su borgbackup
cd
nano ~/.ssh/authorized_keys
V nano editoru odeberte znak # na začátku prvního řádku stisknutím klávesy Del na klávesnici. Poté stiskněte klávesu Dolů a vložte nový znak # na druhý řádek. Poté by měl soubor vypadat víceméně takto:
from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ...
#from="SERVERIPADDRESS",command="borg serve --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ..
Uložte soubor pomocí Ctrl+O a ukončete pomocí Ctrl+X. Nyní jsme zakázali přístup pro čtení a zápis do úložiště borgů.
Nyní mohou zálohy pokračovat jako normálně, pouze způsobem připojení, a jste chráněni před pokusy o smazání z hlavního serveru zaměřených na zálohy uložené na záložním serveru.
4.4 Závěrečné poznámky
Nyní jste vytvořili záložní systém, který je mimo pracoviště a pouze pro připojení. To znamená, že zálohy jsou chráněny dvěma způsoby. Za prvé, zálohy jsou chráněny v tom smyslu, že jsou fyzicky odděleny od hlavního serveru. Za druhé a konečně již pořízené zálohy jsou chráněny před pokusy o změnu z hlavního serveru (kromě případů, kdy se výslovně rozhodnete je změnit pomocí ručního ořezávání).