Guida al servizio di backup
In questa breve guida sono spiegati i passi necessari alla configurazione tipica del servizio di backup per un client di tipo GNU/Linux dotato di sudo per il quale si voglia fare backup dell’intero filesystem.
Tutte le operazioni devono essere eseguite da utente root o tramite sudo.
Indice
Utente di backup
Creiamo un’utenza priva di password che dedicheremo all’accesso da parte del
server di backup chiamandola, ad esempio, backuppc
.
adduser --disabled-password backuppc
Accesso SSH da parte del server
Impostiamo ora il server SSH della nostra macchina client affinché il server di backup di XT3 possa accedere tramite autenticazione con chiave RSA. In particolare, anzitutto creiamo la cartella con le configurazioni di SSH nella home dell’utente
mkdir /home/backuppc/.ssh
poi creiamo il file con le chiavi autorizzate /home/backuppc/.ssh/authorized_keys
inserendoci la seguente stringa (facendo attenzione a non introdurre
interruzioni di linea).
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDIcyNPOjQUe1NFNzXmdlPCP0TsUUBL/k0X1w+4I4Pi9+LM76f6zIbO1ZeUz973UxMyP+C5IHnCsqlLMl7fVs2XoHMY7TmqMWnO3C1SuEmriTTZcR6/ZCAnd19tk+jPW+tUa2kowf/StN4IIxQcxe2ABRsrt1pD7VZLyhS01GhB4JmxJsOgnUja0cEbLY+FiCvQfAgd4HCdWxZExswOeqQpP+a3X+ktU6HRyms3HkE6+FKjX4UAo8hw2G6Zi7Qc4D8pNBXUvm+yaTSMDAeKcKk9bo/RW1b/FHns3Pccd/SHTA5U+4GPBUYtPQo3tOERr7NA+IH89GXDA+OqV1M/175F backuppc@radon.xt3.it
Infine, sistemiamo permessi e proprietario dell’intera cartella dell’utente
backuppc
:
chmod -R go-rwx /home/backuppc/
chown -R backuppc:backuppc /home/backuppc/
Permessi per l’utente
Come ultimo passo, è necessario consentire che il nuovo utente backuppc
abbia
all’intera radice del filesystem di cui si vuole fare il backup.
Configuriamo quindi sudo affinché tale utente possa eseguire come root il solo
comando di server rsync.
Per farlo, creiamo un nuovo file /etc/sudoers.d/backuppc
e scriviamoci la
seguente linea:
backuppc ALL=NOPASSWD: /usr/bin/rsync --server *
Se si vuole fare a meno della procedura di ripristino dei file tramite
interfaccia web ed aumentare il livello di protezione della configurazione, si
può restringere ulteriormente l’accesso sudo con rsync limitandolo alla sola lettura.
Basta aggiungere l’opzione --sender
prima dell’asterisco finale.