In questa breve guida sono spiegati i passi necessari alla configurazione tipica del servizio di backup per un client di tipo GNU/Linux dotato di sudo per il quale si voglia fare backup dell’intero filesystem.

Tutte le operazioni devono essere eseguite da utente root o tramite sudo.

Indice

Utente di backup

Creiamo un’utenza priva di password che dedicheremo all’accesso da parte del server di backup chiamandola, ad esempio, backuppc.

adduser --disabled-password backuppc

Accesso SSH da parte del server

Impostiamo ora il server SSH della nostra macchina client affinché il server di backup di XT3 possa accedere tramite autenticazione con chiave RSA. In particolare, anzitutto creiamo la cartella con le configurazioni di SSH nella home dell’utente

mkdir /home/backuppc/.ssh

poi creiamo il file con le chiavi autorizzate /home/backuppc/.ssh/authorized_keys inserendoci la seguente stringa (facendo attenzione a non introdurre interruzioni di linea).

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDIcyNPOjQUe1NFNzXmdlPCP0TsUUBL/k0X1w+4I4Pi9+LM76f6zIbO1ZeUz973UxMyP+C5IHnCsqlLMl7fVs2XoHMY7TmqMWnO3C1SuEmriTTZcR6/ZCAnd19tk+jPW+tUa2kowf/StN4IIxQcxe2ABRsrt1pD7VZLyhS01GhB4JmxJsOgnUja0cEbLY+FiCvQfAgd4HCdWxZExswOeqQpP+a3X+ktU6HRyms3HkE6+FKjX4UAo8hw2G6Zi7Qc4D8pNBXUvm+yaTSMDAeKcKk9bo/RW1b/FHns3Pccd/SHTA5U+4GPBUYtPQo3tOERr7NA+IH89GXDA+OqV1M/175F backuppc@radon.xt3.it

Infine, sistemiamo permessi e proprietario dell’intera cartella dell’utente backuppc:

chmod -R go-rwx /home/backuppc/
chown -R backuppc:backuppc /home/backuppc/

Permessi per l’utente

Come ultimo passo, è necessario consentire che il nuovo utente backuppc abbia all’intera radice del filesystem di cui si vuole fare il backup. Configuriamo quindi sudo affinché tale utente possa eseguire come root il solo comando di server rsync. Per farlo, creiamo un nuovo file /etc/sudoers.d/backuppc e scriviamoci la seguente linea:

backuppc  ALL=NOPASSWD: /usr/bin/rsync --server *

Se si vuole fare a meno della procedura di ripristino dei file tramite interfaccia web ed aumentare il livello di protezione della configurazione, si può restringere ulteriormente l’accesso sudo con rsync limitandolo alla sola lettura. Basta aggiungere l’opzione --sender prima dell’asterisco finale.