Voici la traduction d’un très bon tuto en italien du Blog Haumako que j’ai suivi pour faire ma procédure de sauvegarde.

Ce constat n’est pas nouveaux, mais une sauvegarde périodique de notre travail est essentielle pour prévenir une possible perte de données liée à une défaillance de de disque dur, un vol ou encore un effacement accidentel. De plus et dans la plupart des cas, les données que nous voulons sauvegarder contiennent des informations privées, des projets en cours de réalisation ou bien encore des documents confidentiels venant de notre société. Voilà donc pourquoi crypter ses sauvegardes, est quelque chose d’important. Nous verrons dans cet article comment créer une procédure de sauvegarde simple et automatique sous Ubuntu (et Linux en général) avec les outils d’archivage (tar) et de cryptographie (gpg).

Avant de procéder à la réalisation de ce script, il me paraît intéressant de présenter dans les grandes lignes le fonctionnement  et la manière dont on va utiliser tar et gpg. Pour ceux qui sont déjà des familiers de ces 2 outils, vous pouvez passer directement à la partie réalisation de la procédure de sauvegarde.

Tar

Tar est un des premiers outils qu’un utilisateur de système Linux apprend à connaître. Une de ses caractéristiques tient dans la possibilité d’archiver de manière séquentielle les fichiers dans une archive unique. Nous utiliserons cet outil pour créer un fichier temporaire contenant tous les fichiers que l’on souhaite sauvegarder, de façon à rendre le cryptage plus facile avec gpg.

Gpg

Gpg est la version open-source du célèbre pgp. Il permet une cryptographie asymétrique de données grâce à un couple de clés, une clé publique et une clé privée. Grâce à la clé publique il est possible de crypter des informations, sans mot de passe. Par contre, avec la clé privée et une fois entré le mot de passe, il est possible décrypter ces mêmes données.

Cette caractéristique est employée par beaucoup de personnes pour sécuriser l’échange d’informations privées (courriel, messagerie instantanée, etc.). Pour que nos correspondants puissent nous envoyer des données cryptées, il nous suffit de leurs fournir notre clé publique (appelée clé esclave) qui sert uniquement à crypter les données. Une fois reçues les informations cryptées , nous utiliserons notre clé privée, qui, couplée avec le mot de passe, nous permettra d’en décrypter le contenu.

Nous utiliserons la clé publique gpg pour crypter nos archives comme cela, nous ne serons pas obligés d’insérer à chaque sauvegarde le mot de passe ou, pire encore, nous ne serons pas obligés de le mémoriser en clair  dans le script. Pour conclure, vu que rien ne sera demandé à chaque exécution du script, il pourra être exécuté en arrière plan et c’est ce que je veux !

Création d’une clés gpg

Pour ceux qui possède déjà un couple de clés ( je m’adresse entre autre au Ubunteros possédant un compte Launchpad), je vous conseille quand même d’en créer une nouvelle de façon à la réserver uniquement pour la procédure de sauvegarde.

Il existe divers moyens graphique pour la création d’un couple de clés, mais j’utiliserai la ligne de commande parce que c’est la méthode la plus rapide.

Nous ouvrons un terminal et exécutons la commande suivante :

gpg --gen-key

gpg vous demandera les options pour la création de la clé, vous pouvez très bien laisser celles par défaut. Pour le mot de passe, je vous conseille d’en créer un assez compliqué.

Réalisation du script

Voyons maintenant le script qui s’occupera de créer le fichier de sauvegarde crypté dans le répertoire de notre choix. Mettez la commande suivante dans un fichier :

#! /bin/sh
tar -cf /emplacement/fichier/backup.tar -X /emplacement/fichier/exclude.txt /emplacement/asauvegarder
gpg –yes -e -r “nom_clé” backup.tar

Explication

La première commande s’occupe de créer l’archive tar contenant tous les fichiers que l’on tient à sauvegarder. Le fichier exclude.txt avec l’option -X permet de ne pas inclure dans l’archive tous les dossiers et fichiers qu’il contient (ceux dont vous ne voulez pas) et que vous aurez rempli au préalable. Ils devront être écrit ligne par ligne, avec le chemin relatif au dossier ou fichier que vous voulez exclure de votre sauvegarde.

Par exemple, supposons que l’on veuille effectuer une sauvegarde du dossiers “documents” avec l’arborescence suivante :

documents/
|-----> images/
|-----> contrats/
|-----> projet/
|----------> .temp
|----------> ~projet.html
|----------> projet.html
|----------> projet-temp/
|-----> temp/

Et que nous voulons exclure tous les fichiers et dossiers temporaires, on devra écrire dans le fichier exclude.txt :

~*
.*
temp
projet/projet-temp

La seconde commande crypte l’archive temporaire tar précédemment créée avec la clé indiquée (votre clé)  après l’option -r. L’option –yes sert à répondre oui par défaut à toutes les questions pendant le processus de cryptage. Elle est nécessaire, car dans le cas ou un ancien fichier crypté existerait déjà, gpg nous demandera si il faut ou non écraser ce fichier. Notre but étant d’avoir une procédure de sauvegarde totalement transparente, nous réglons donc ce problème pour que gpg puisse toujours écraser un ancien fichier présent, si il existe.

Gpg compresse automatiquement le fichier de sortie avec gzip, nous n’avons donc pas à nous préoccuper de compresser le fichier de sauvegarde après l’opération de cryptage!

Pour éviter de taper à chaque sauvegarde ces commandes, nous les sauvegardons dans un fichier de test, en lui octroyant les permissions d’exécution.

Automatisation du script avec crontab

Nous pouvons automatiser cette sauvegarde en incluant une ligne dans contab qui lancera du fichier que nous venons juste de créer. Pour effectuer cette opération accédons à crontab par cette commande :

crontab -e

et nous tapons :

*/20 * * * * /emplacement/fichier/backup-script.sh

*/20 indique à crontab d’exécuter le script toutes les 20 minutes. Vous pouvez changer cette option comme bon vous semble si cela ne vous convient pas (consultez le manuel de crontab pour savoir comment modifier les données de démarrage du script).

Script de sauvegarde avancé

La méthode décrite jusqu’à présent est basée sur un script simple mais très efficace. Nous allons voir maintenant comme le faire évoluer pour exécuter la sauvegarde sur un média externe (Clé Usb, SDCard ou encore disque dur externe).

Pour rendre cette procédure intelligente, nous voulons que le script soit exécuté seulement quand le média externe est connecté et monté. Pour faire cela, on va tester à l’intérieur du script la présence de ce média externe. Dans le script qui suit, vous verrez cependant qu’il vient tester l’existence d’un répertoire sur le média externe pour éviter que le sauvegarde se fasse sur un autre périphérique monté avec le même nom.

Le script final sera le suivant :

#! /bin/sh
BACKUP_SCRIPT_PATH=/emplacement/fichier/script
BACKUP_DIR=/emplacement/dossier/backup
EXTERNAL_DRIVE=/emplacement/média/externe/
if [ -d $EXTERNAL_DRIVE/backups ]; then
tar -cf $BACKUP_DIR/nomarchive.tar -X $BACKUP_SCRIPT_PATH/exclude.txt \
/emplacement/dossier/backup/1 \
/emplacement/dossier/backup/2 \
…
1> /dev/null 2> $BACKUP_SCRIPT_PATH/errors.log # redirection du fichier de log en cas d’erreur
gpg –yes -e -r “nom_clè” $BACKUP_DIR/nomarchive.tar
rm $BACKUP_DIR/nomarchive.tar
cp $BACKUP_DIR/nomarchive.tar.gpg $EXTERNAL_DRIVE/backups
fi

Dans ce script on teste la présence du répertoire backups sur la média externe (à créer bien sûr), on créé l’archive temporaire, on crypte cette même archive temporaire, on supprime l’archive temporaire et pour terminer on copie l’archive cryptée dans le répertoire backups sur le média externe.

Rappelez-vous que l’archive temporaire sert uniquement à faciliter le cryptage, qui s’effectuera de cette manière, sur un seul et unique fichier. Gpg créera un fichier de type nomarchive.tar.gpg qui sera copié dans le répertoire backup.

On pourrait accélérer la création du tar en faisant une mise-à-jour de l’archive plutôt que de la créer de nouveau à chaque run (dans ce cas elle ne devra évidemment pas être éliminée après le cryptage). Cette possibilité est réalisable en substituant l’option -c avec -u dans la commande tar (qui deviendra donc tar -uf).