Appliquer des sauvegardes uniquement avec borg à un autre VPS ou serveur dédié

Ce tutoriel montrera comment sauvegarder les données sur un serveur, appelé serveur principal, sur un autre hôte, ici appelé serveur de sauvegarde, avec le programme de sauvegarde logiciel gratuit Borg. Le serveur de sauvegarde sera configuré de manière à ce que le serveur principal en utilisation normale ne puisse ajouter que de nouvelles données, et non supprimer ou modifier les anciennes sauvegardes. Cette fonction d’ajout seulement, combinée au fait que les sauvegardes sont stockées sur un serveur séparé dans un emplacement séparé, rend les sauvegardes protégées contre les pertes de données dues par exemple à des accidents naturels ou à une attaque de pirate contre le serveur principal. La condition préalable pour suivre ce guide est d’utiliser Debian Stretch (9) ou Debian Buster (10) et d’avoir deux serveurs disponibles, un serveur principal à partir duquel les sauvegardes sont effectuées, et un autre serveur de sauvegarde où les archives de sauvegarde seront stockées. Ces deux serveurs doivent être situés dans des endroits séparés pour une protection optimale. Ce guide commencera par la configuration du serveur de sauvegarde dans la première section. Dans la deuxième section, nous allons configurer le serveur principal, puis effectuer une sauvegarde, une restauration de test et montrer comment tailler manuellement les anciennes archives de sauvegarde.

1 Configurer le serveur de sauvegarde

1.1 Installer borg et créer un nouvel utilisateur borgbackup

Sur le serveur de sauvegarde (le serveur sur lequel les sauvegardes doivent être stockées) installez Borg dans un terminal racine avec cette commande :

apt installer borgbackup

Ensuite, choisissez un mot de passe pour l’utilisateur borg que nous allons bientôt créer. (Il est obligatoire d’avoir un mot de passe pour chaque utilisateur, cependant, ce mot de passe ne sera presque jamais utilisé, car nous nous connecterons normalement au serveur de sauvegarde avec une clé SSH.)
Si vous voulez générer un mot de passe aléatoire de 64 caractères, utilisez cette commande :

< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-64};echo;

Copiez le mot de passe de l’utilisateur borg affiché dans le presse-papiers, et enregistrez-le dans un emplacement sécurisé ailleurs que sur le serveur en lui-même.

Maintenant, nous allons créer l’utilisateur borgbackup :

adduser borgbackup

Lorsque vous avez une question sur le mot de passe, collez le mot de passe que vous avez copié plus tôt, appuyez sur Entrée, puis collez à nouveau le mot de passe suivi de Entrée.
Ne remplissez rien d’autre, appuyez simplement sur Entrée pour répondre aux questions suivantes.

1.3 Créer le répertoire de sauvegarde

Maintenant, il est temps de créer le répertoire où les sauvegardes seront stockées, qui dans la terminologie borg est défini comme le dépôt borg.
Nous appellerons simplement le répertoire borgbackup, mais vous pouvez choisir de le nommer d’après le nom d’hôte de votre serveur principal.

cd
mkdir borgbackup
chmod go-rwx borgbackup
chmod u+rwx borgbackup

2 Configurez le serveur principal et la façon dont il se connecte au serveur de sauvegarde

2.1 Installer Borg

Maintenant, nous passons du travail sur le serveur de sauvegarde au travail sur le serveur principal.

Sur le serveur principal (le serveur dont vous voulez faire des sauvegardes) installez Borg dans un terminal racine avec cette commande :

apt installer borgbackup

Plus tard, nous aurons besoin de l’adresse IP externe du serveur principal (celui où nous sommes). Veuillez copier cette adresse IP pour que vous puissiez l’avoir facilement à portée de main. Si vous ne vous souvenez pas de l’adresse IP externe du serveur principal, exécutez cette commande pour l’afficher :

wget -qO- http://ipecho.net/plain | xargs echo

2.2 Autoriser le serveur principal à accéder au serveur de sauvegarde

Commandes que vous exécutez sur le serveur principal

Nous allons maintenant préparer l’authentification par clé SSH pour qu’il soit possible de se connecter du serveur principal au serveur de sauvegarde. Tout d’abord, utilisez cette commande pour afficher la clé publique SSH de l’utilisateur root sur le serveur principal :

cat ~/.ssh/id_*.pub

Si vous avez une clé publique SSH pour root, vous devriez maintenant voir cette clé affichée. Copiez la clé dans votre presse-papiers, vous devrez la coller plus tard dans un fichier sur le serveur de sauvegarde.

Si vous ne voyez pas la clé affichée, vous devez générer la paire de clés. Par exemple, exécutez cette commande dans ce cas : ssh-keygen -t ed25519 suivi par des pressions répétées sur Entrée.

Maintenant, nous devons dire au serveur de sauvegarde d’autoriser l’accès depuis le serveur principal (où nous nous trouvons en ce moment) avec la clé publique SSH. Pour ce faire, entrez cette commande, mais remplacez d’abord BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde :

ssh-copy-id -i ~/.ssh/id_*.pub borgbackup@BACKUPHOSTNAME

Se connecter au serveur de sauvegarde

Vous devez maintenant entrer le mot de passe de l’utilisateur borgbackup que vous avez créé à l’étape 1.1. Après cela, il devrait être possible d’accéder directement au serveur de sauvegarde en tant qu’utilisateur borgbackup sans mot de passe. Maintenant, testez que c’est possible en tapant cette commande, en remplaçant BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde :

ssh borgbackup@BACKUPHOSTNAME

Commandes que vous exécutez sur le serveur de sauvegarde

Nous allons maintenant resserrer encore plus la sécurité en limitant l’accès uniquement à partir de l’adresse IP du serveur principal à l’aide de cette clé.

Restez sur le serveur de sauvegarde et exécutez cette commande :

nano ~/.ssh/authorized_keys

Maintenant, vous devriez voir une longue ligne qui commence par ssh. Vérifiez que le curseur se trouve au début du fichier. Ajoutez les données suivantes sur la même ligne, avant la clé ssh, mais remplacez d’abord SERVERIPADDRESS par l’adresse IP de votre serveur (que vous avez recherché au début de cette section) :

from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc 

Assurez-vous qu’il y a un espace entre la section que vous avez ajoutée et la section préexistante commençant par ssh qui suit. Sauvegardez ensuite le fichier avec Ctrl+O et quittez avec Ctrl+X. Nous avons maintenant limité l’accès au serveur de sauvegarde de deux façons. Premièrement, seule l’adresse IP du serveur principal est autorisée. Deuxièmement, grâce à l’option –append-only, il est seulement permis d’ajouter des données au référentiel borg, mais les suppressions et modifications ne sont pas autorisées.

Déconnectez-vous du serveur de sauvegarde et revenez au serveur principal.

Exécutez cette commande pour quitter le serveur de sauvegarde et revenir au serveur principal :

exit

2.3 Choisir un mot de passe pour le référentiel borg

Un référentiel borg est l’emplacement où les sauvegardes sont stockées. Il est protégé par un mot de passe du référentiel borg, dont vous savez qu’il faut choisir. Le mot de passe est nécessaire pour effectuer de nouvelles sauvegardes et accéder aux anciennes. Vous pouvez soit créer vous-même un mot de passe (choisissez un minimum de 20 caractères pour une sécurité optimale), soit générer au hasard un mot de passe de 64 caractères avec cette commande :

< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-64};echo;

Copiez le mot de passe du référentiel borg dans votre presse-papiers en le marquant et en appuyant sur Ctrl+C. Il est essentiel de sauvegarder le mot de passe du référentiel borg dans un endroit sécurisé car sans ce mot de passe vous ne pouvez pas accéder à vos sauvegardes ! Sauvegardez donc une copie du mot de passe de borg ailleurs que sur vos serveurs, par exemple dans un gestionnaire de mots de passe (tel que KeePass) sur votre propre ordinateur.

2.4 Créer le référentiel borg

Dans la terminologie borg, l’emplacement où les sauvegardes sont stockées est appelé le référentiel borg. Le mot de passe sera maintenant défini comme variable d’environnement en préparation de la création de ce référentiel. Remplacez MOT DE PASSE par votre mot de passe actuel et exécutez la commande ci-dessous en tant qu’utilisateur root de votre serveur principal :

export BORG_PASSPHRASE='PASSWORD'

Créez le référentiel borg de cette façon - mais remplacez d’abord BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde :

borg init -e repokey-blake2 borgbackup@BACKUPHOSTNAME:/home/borgbackup/borgbackup/

Tout est maintenant prêt à utiliser borg pour les sauvegardes, ce qui sera le sujet de la section suivante.

3 Sauvegarde à partir du serveur principal

3.1 Exécuter la sauvegarde manuellement

Dans l’exemple qui suit, tout le système du serveur principal sera sauvegardé, sauf certains répertoires qui ne sont pas pertinents pour la sauvegarde.

Veuillez vous assurer que vous êtes connecté en tant que root sur votre serveur principal avant de continuer. Tout d’abord, nous allons définir la variable d’environnement pour le mot de passe du référentiel borg via cette commande (remplacez PASSWORD par votre mot de passe du référentiel borg actuel :

export BORG_PASSPHRASE='PASSWORD'

Ensuite, nous exécuterons la commande suivante pour effectuer une sauvegarde complète du système. Veuillez ajuster les exclusions du répertoire, qui commencent par –exclude, à vos besoins. Par exemple, vous pouvez ajouter une exclusion du répertoire /mnt en ajoutant –exclude=mnt Veuillez noter que vous ne devez pas entrer la première barre oblique dans le motif d’exclusion, par exemple, vous écrivez mnt au lieu de /mnt. Vous devez également changer le BACKUPHOSTNAME pour le nom d’hôte réel de votre serveur de sauvegarde. Nous devons d’abord exécuter un cd / commande, car borg démarre normalement la sauvegarde à partir du répertoire à partir duquel elle est exécutée.

cd / && borg create --stats --progress --compress lz4 borgbackup@BACKUPHOSTNAME:/home/borgbackup/borgbackup/::`hostname`-`date +%Y-%m-%d-%H-%M-%S` ./ --exclude=dev --exclude=mnt/borgbackup -exclude=proc --exclude=run --exclude=root/.cache/ --exclude=sys --exclude=tmp && cd

La première fois que la sauvegarde est exécutée, cela prendra un certain temps (jusqu’à plusieurs heures si vous avez une grande quantité de données à sauvegarder). Vous verrez une ligne d’état mettre à jour rapidement quel fichier borg est en train d’être traité dans la sauvegarde. A partir de la deuxième fois, les sauvegardes seront beaucoup plus rapides, car seules les modifications effectuées depuis la dernière sauvegarde seront transmises.

3.2 Planifier la sauvegarde avec cron

Il est, bien sûr, préférable d’exécuter une sauvegarde automatique à intervalles réguliers, plutôt que d’avoir à se rappeler d’exécuter des sauvegardes manuelles. Pour ce faire, nous créons d’abord un script shell qui exécute la tâche de sauvegarde, que nous éditons ensuite avec l’éditeur nano comme utilisateur root sur le serveur principal :

touch /usr/local/bin/borgbackup.sh
chmod go-rwx /usr/local/bin/borgbackup.sh
chmod u+rwx /usr/local/bin/borgbackup.sh
nano /usr/local/bin/borgbackup.sh

Insérez ces lignes dans le nouveau script shell :

#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
cd / && borg create --stats --progress --compress lz4 borgbackup@BACKUPHOSTNAME:/home/borgbackup/borgbackup/::`hostname`-`date +%Y-%m-%d-%H-%M-%S` ./ --exclude=dev --exclude=proc --exclude=run --exclude=root/.cache/ --exclude=mnt/borgmount --exclude=sys --exclude=tmp && cd

Vous devez remplacer PASSWORD par le mot de passe de votre référentiel borg, remplacer BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde et enfin ajuster les modèles d’exclusion à vos besoins - vous pouvez ajouter –exclude=mnt pour exclure le répertoire /mnt de votre sauvegarde. Sauvegardez le fichier dans l’éditeur nano en appuyant sur Ctrl+O, puis quittez avec Ctrl+X.

Ensuite, testez le script en l’exécutant depuis le terminal :

/usr/local/bin/borgbackup.sh

Afin de programmer une sauvegarde à 02:00 tous les soirs, ajoutez le script shell de sauvegarde que nous venons de créer dans /etc/crontab :

nano /etc/crontab

Ajoutez ensuite une nouvelle ligne à la crontab avec la tâche de sauvegarde :

# Sauvegarde via Borg vers serveur de sauvegarde 
00 02           * * *   root    /usr/local/bin/borgbackup.sh

4 Restaurer les fichiers (pendant la connexion au serveur principal)

4.1 Afficher la liste des sauvegardes effectuées

Vous n’avez pas de système de sauvegarde fonctionnel avant d’avoir vérifié que vous pouvez restaurer les données de vos sauvegardes. Par conséquent, notre prochaine étape est de vérifier la sauvegarde que nous avons faite plus tôt. Cela se fera à partir du terminal racine du serveur principal. Pour ce faire, nous allons monter l’archive de sauvegarde comme un système de fichiers supplémentaire, mais d’abord, nous allons vérifier la liste des sauvegardes effectuées en créant un script shell en tant qu’utilisateur root sur votre serveur principal :

touch /usr/local/bin/borglist.sh
chmod go-rwx /usr/local/bin/borglist.sh
chmod u+rwx /usr/local/bin/borglist.sh
nano /usr/local/bin/borglist.sh

Insérez ce qui suit dans le nouveau script shell, en remplaçant PASSWORD par le mot de passe de votre référentiel borg, et BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde :

#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
borg list -v borgbackup@BACKUPHOSTNAME:/home/borgbackup/borgbackup/

Sauvegardez le fichier avec Ctrl+O suivi de Ctrl+X. Exécutez ensuite le script shell de cette manière :

/usr/local/bin/borglist.sh

Vous devriez maintenant voir une liste des sauvegardes qui ont été effectuées. Si votre première sauvegarde a été effectuée, vous devriez donc voir un élément dans la liste. Marquez et copiez maintenant le nom de l’archive dans le presse-papiers. Vous trouvez le nom de l’archive dans la première colonne, il est composé du nom d’hôte de votre serveur principal suivi d’une date et d’une heure, sur ce format : mainhostname-2019-01-31-12-59-59

4.2 Vérifier/restaurer les données

Nous allons maintenant monter l’ensemble du dépôt borg en tant que système de fichiers FUSE. Cela signifie que le référentiel borg - y compris tous les fichiers qui ont été sauvegardés - devient un système de fichiers, que nous pouvons parcourir et inspecter par des commandes normales telles que ls et cd.

Afin de pouvoir monter facilement le dépôt borg, nous allons créer un raccourci des commandes sous la forme d’un script shell. Créez et modifiez le script shell de cette façon :

touch /usr/local/bin/borgmount.sh
chmod go-rwx /usr/local/bin/borgmount.sh
chmod u+rwx /usr/local/bin/borgmount.sh
nano /usr/local/bin/borgmount.sh

Insérez ensuite les lignes ci-dessous dans le script schell, mais changez d’abord le MOT DE PASSE ci-dessous pour le mot de passe de votre référentiel borg et changez BACKUPHOSTNAME pour le nom d’hôte de votre serveur de sauvegarde :

#!/bin/sh
mkdir -p /mnt/borgbackup
export BORG_PASSPHRASE='PASSWORD'
borg mount borgbackup@BACKUPHOSTNAME:/home/borgbackup/borgbackup/ /mnt/borgbackup

Sauvegardez le fichier avec Ctrl+O suivi de Ctrl+X. Exécutez ensuite le script shell de cette manière :

/usr/local/bin/borgmount.sh

Le dépôt borg devrait maintenant être monté dans /mnt/borgbackup - vous pouvez le vérifier en utilisant cd et ls :

cd /mnt/borgbackup
ls

Vous devriez maintenant voir un répertoire dans lequel se trouve votre sauvegarde. Allez dans ce répertoire avec cd (remplacez DIRECTORYNAME par le nom du répertoire que vous voyez affiché à la suite de la commande ls que vous venez d’entrer) et ensuite utilisez ls pour voir le contenu :

cd DIRECTORYNAME
ls

Maintenant vous pourrez voir la dernière archive (la dernière sauvegarde effectuée). Vous pouvez comparer avec diff qu’un fichier a été sauvegardé correctement, par exemple pour /etc/fstab, avec cette commande :

diff etc/fstab /etc/fstab

Si vous n’obtenez aucune sortie de diff, les deux fichiers sont identiques et la sauvegarde a fonctionné pour ce fichier. Si, par contre, vous avez modifié le fichier depuis la dernière sauvegarde, vous verrez quelles lignes dans les fichiers sont différentes.

Si vous le souhaitez, vous pouvez restaurer des fichiers à partir de la sauvegarde, simplement en utilisant la commande cp pour copier des fichiers du sous-répertoire de /mnt/borgbackup dans lequel vous vous trouvez dans le terminal en ce moment.

Enfin, nous allons créer un script pour démonter le borg fuse mount.

Créez et modifiez le script shell de cette façon :

touch /usr/local/bin/borgumount.sh
chmod go-rwx /usr/local/bin/borgumount.sh
chmod u+rwx /usr/local/bin/borgumount.sh
nano /usr/local/bin/borgumount.sh

Insérez ensuite les lignes ci-dessous dans le script schell :

#!/bin/sh
cd ~
umount /mnt/borgbackup
rmdir /mnt/borgbackup

Sauvegardez le fichier avec Ctrl+O suivi de Ctrl+X. Exécutez ensuite le script shell de cette manière :

/usr/local/bin/borgumount.sh

Le support de fusible borg est maintenant démonté et vous avez été placé dans le répertoire /root/ sur le terminal.

5 Tailler (Prune) les anciennes sauvegardes (vous devez avoir accès à la fois au serveur de sauvegarde et au serveur principal)

Nous devons maintenant basculer entre le serveur de sauvegarde et le serveur principal. Tout d’abord, nous commençons par les commandes sur le serveur de sauvegarde.

Après un certain temps, la taille des sauvegardes peut devenir importante. Pour des raisons de sécurité, le serveur principal n’est pas autorisé à supprimer automatiquement les anciennes sauvegardes. Cependant, nous pouvons autoriser temporairement la suppression d’anciennes archives de sauvegarde si nécessaire, afin d’économiser de l’espace disque sur le serveur de sauvegarde.

Ce processus d’élimination est appelé à tailler dans la terminologie borg. Le processus d’élagage commence au niveau du serveur de sauvegarde, avec un accès temporaire en lecture-écriture. Ensuite, nous nous connectons au serveur principal pour émettre la commande d’élagage. Enfin, nous accédons à nouveau au serveur de sauvegarde pour désactiver l’accès en lecture-écriture afin que les anciennes sauvegardes soient protégées contre la suppression ou la modification.

5.1 Autoriser l’accès temporaire en lecture+écriture (à partir du serveur de sauvegarde)

Nous allons maintenant travailler sur le serveur de sauvegarde.

Connectez-vous donc au serveur de sauvegarde et connectez-vous en tant que root. Afin de permettre l’accès en lecture+écriture, nous devons changer le fichier /home/borgbackup/.ssh/authorized_keys sur le serveur de sauvegarde. Lancez ces commandes pour devenir l’utilisateur borgbackup, prenez une sauvegarde du fichier et éditez le fichier avec nano :

su borgbackup
cd
cp -a ~/.ssh/authorized_keys ~/.ssh/authorized_keys.bak
nano ~/.ssh/authorized_keys

Maintenant, vous devriez voir dans l’éditeur nano une longue ligne qui commence par from==… Couper la ligne en appuyant sur Ctrl+K puis sur Ctrl+U, et encore une fois Ctrl+U pour que vous ayez maintenant deux lignes identiques. Appuyez deux fois sur la touche Up de votre clavier pour placer le curseur sur la première ligne. Tapez ensuite un caractère # pour commenter la première ligne. Ensuite, appuyez sur la touche Bas de votre clavier pour accéder à la deuxième rangée. Ici, vous devez vous déplacer vers la droite avec la touche Droite de votre clavier jusqu’à ce que vous vous teniez à la première - in –append-only. Le fichier devrait ressembler approximativement à ceci, notez que nous avons commenté la première ligne et que –append-only est supprimé de la deuxième ligne :

#from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ...
from="SERVERIPADDRESS",command="borg serve --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ..

Sauvegardez le fichier avec Ctrl+O et quittez avec Ctrl+X. Nous avons maintenant activé l’accès en lecture+écriture au dépôt borg.

5.2 Tailler (Prune) les anciennes sauvegardes (faites à partir du serveur principal)

Maintenant, connectez-vous au serveur principal dans une nouvelle fenêtre de terminal en tant qu’utilisateur root.

Nous allons maintenant créer un script sur le serveur principal pour tailler (c’est-à-dire supprimer) les anciennes sauvegardes. Créez et modifiez le script shell sur le serveur principal de cette façon :

touch /usr/local/bin/borgprune.sh
chmod go-rwx /usr/local/bin/borgprune.sh
chmod u+rwx /usr/local/bin/borgprune.sh
nano /usr/local/bin/borgprune.sh

Insérez ensuite les lignes ci-dessous dans le script shell. Remplacez ensuite PASSWORD par le mot de passe de votre référentiel borg et BACKUPHOSTNAME par le nom d’hôte de votre serveur de sauvegarde. Vous devez également ajuster le nombre de sauvegardes que vous souhaitez conserver. Dans cet exemple, nous conservons 7 sauvegardes quotidiennes, 4 sauvegardes hebdomadaires et 12 sauvegardes mensuelles.

#!/bin/sh
export BORG_PASSPHRASE='PASSWORD'
borg prune --stats --progress borgbackup@BACKUPHOSTNAME:/home/borgbackup/borgbackup/ --prefix `hostname`- --keep-daily=7 --keep-weekly=4 --keep-monthly=12

Appuyez sur Ctrl+O et Ctrl+X pour enregistrer et quitter le fichier. Ensuite, exécutez le script pruneau que vous venez de créer sur le serveur principal :

/usr/local/bin/borgprune.sh

Cette commande prendra un certain temps (peut prendre jusqu’à deux heures), mais vous pouvez voir les progrès qu’elle fait en cours de route, en deux passes pour arriver à 100%.

5.3 Interdire l’accès en lecture+écriture (depuis le serveur de sauvegarde)

Maintenant, nous retournons travailler sur le serveur de sauvegarde.

Une fois la commande prune terminée sur le serveur principal, vous vous connectez maintenant au serveur de sauvegarde en tant qu’utilisateur borgbackup et éditez à nouveau le fichier /home/borgbackup/.ssh/authorized_keys pour interdire les accès lecture+écriture.

Faites comme ceci sur le serveur de sauvegarde :

su borgbackup
cd 
nano ~/.ssh/authorized_keys

Dans l’éditeur nano, enlevez le caractère # au début de la première ligne en appuyant sur la touche Del de votre clavier. Ensuite, appuyez sur la touche Bas et insérez un nouveau caractère # sur la deuxième ligne. Après cela, le fichier devrait ressembler plus ou moins à ceci :

from="SERVERIPADDRESS",command="borg serve --append-only --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ...
#from="SERVERIPADDRESS",command="borg serve --restrict-to-path /home/borgbackup/borgbackup/",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh ... (the line continues) ..

Sauvegardez le fichier avec Ctrl+O et quittez avec Ctrl+X. Nous avons maintenant désactivé l’accès en lecture+écriture au dépôt borg.

Désormais, les sauvegardes peuvent se poursuivre normalement, de manière append-only, et vous êtes protégé contre les tentatives de suppression du serveur principal visant les sauvegardes stockées sur le serveur de sauvegarde.

5.4 Remarques finales

Vous avez maintenant créé un système de sauvegarde qui est hors site et append-only. Cela signifie que les sauvegardes sont protégées de deux manières. Premièrement, les sauvegardes sont protégées dans le sens où elles sont physiquement séparées du serveur principal. Deuxièmement et enfin, les sauvegardes déjà effectuées sont protégées contre les tentatives d’altération du serveur principal (sauf si vous décidez explicitement de les modifier par une taille manuelle).