31 mars 2016

Tout sauvegarder (suite)

Le 31 mars est la journée mondiale de la sauvegarde. Faut-il vraiment une journée mondiale pour vous sensibiliser sur ce sujet, je ne pense pas... Pour autant, il est parfois utile de se pencher sur ce problème, et j'en profite pour vous faire un petit retour d'expérience, si ça peut aider quelqu'un. 

Les histoires pour faire peur.

Si je fais appel un peu à ma mémoire, j'ai quelques histoires horribles à raconter :
- un ami qui a perdu définitivement 3 semaines de photos de ses dernières vacances (disque dur externe HS, pas de copie)
- une entreprise qui a fermé parce que son serveur est tombé en panne pendant la sauvegarde (disque dur HS, sauvegarde en cours rendue inutilisable, je raconte cette histoire ici)
- des copains DSI qui m'ont remonté des pertes de données à cause de cryptovirus (données récupérées à partir des sauvegardes, travail de la journée perdu)
- un avocat m'appelant à l'aide après la perte de toutes les données de son cabinet (destruction par vandalisme)
- une collègue dont la maison a entièrement brûlé
- je ne compte plus les messages sur Facebook ou sur Twitter d'un étudiant ayant perdu plusieurs années de travail lors du vol de son ordinateur portable... 

Le problème.

Je souhaite mettre à l'abri les données informatiques de la maison, et qui se trouvent sur les ordinateurs de mes enfants (2 fixes et un portable), sur ceux du cabinet d'avocat de mon épouse, sur ceux de mon cabinet d'expertise informatique, sur les tablettes, sur les téléphones mobiles et sur le système de stockage collectif de la maison (un NAS Synology) qui regroupe toutes les photos et films familiaux. Il faut penser aux pertes de données par incendie (toute la maison brûle), par destruction (in)volontaire, par cambriolage et par attaque virale (j'ai très peur des cryptovirus). 

Ma solution.

Un système local dédié au stockage des sauvegardes, plus un système de synchronisation vers l'extérieur. Les données confidentielles seront chiffrées avant sauvegarde.

Voyons tout cela de plus près. 

Le stockage local.

J'ai testé plusieurs solutions (FreeNAS, OpenMediaVault, NAS4Free, OpenFiler, Amahi, NexentaStor, ZFSguru...) pour finalement retenir celle présentée dans ce précédent billet, à savoir OpenMediaVault. Je voulais éviter une solution Windows, trop sensible aux attaques virales, je cherchais une solution open source bien maintenue par sa communauté, et j'ai un faible pour les solutions sous Debian, distribution que je connais bien et que j'apprécie. J'ai eu un peu peur de me lancer dans des solutions un peu exotiques (même si le système de fichiers ZFS me semble très intéressant).

J'ai donc acheté un MicroServer Gen 8 HP sur Amazon pour 219 euros TTC que j'ai reçu quelques jours plus tard, et que j'ai immédiatement rempli avec deux barrettes mémoires de 8Go, quatre disques de 4 To (disques que j'utilise traditionnellement pour les expertises) et un petit disque SSD de 64 Go. J'ai ensuite procédé à l'installation en suivant la procédure de l'Atelier du Geek décrite dans ce billet.

Me voici donc à la tête d'un NAS DIY magnifique d'une capacité de 10 To répartie sur 4 disques en RAID5, que je vais destiner UNIQUEMENT aux sauvegardes des données familiales (et aussi aux données temporaires volumineuses générées lors de mes expertises judiciaires). 

Le logiciel de sauvegarde.

Là aussi, j'ai fait beaucoup d'essais : Areca Backup, BackupPC, Bonkey, DeltaCopy, FreeFileSync, etc. J'ai lu beaucoup d'articles, suivis les conseils donnés par vos commentaires sous ce billet. J'ai beaucoup rêvé d'un clone GNU/Linux du splendide logiciel Apple Time Machine, mais malheureusement, je n'ai pas trouvé.

J'ai choisi BackupPC pour ses performances, malgré une configuration que je trouve complexe. Il gère très bien la déduplication pour optimiser la place prise par les sauvegardes, il comprime les données, automatise très simplement les sauvegardes et gère très bien les ordinateurs connecté de façon aléatoire (les portables par exemple).

L'installation de BackupPC en parallèle à OpenMediaVault, et sa configuration, feront l'objet d'un billet technique séparé (Travail en cours, mais en gros, j'ai suivi ce billet). 

Le circuit des données.

Tous les ordinateurs de la maison ont accès à un NAS Synology de 4 To (deux disques en RAID1) qui stocke les photos et vidéos familiales, mais qui servait également au stockage des sauvegardes. Aujourd'hui, les sauvegardes de chaque poste sont faites directement vers le nouveau système de sauvegarde, ainsi que la sauvegarde du NAS Synology lui-même.

J'ai fait une exception pour les ordinateurs du cabinet d'avocat dont les données sont chiffrées avant d'être exportées. Je n'ai pas encore modifié ce système qui fonctionne bien. Je n'ai pas encore eu le temps de creuser ce point avec BackupPC. 

L'externalisation en cas d'incendie.

Mes enfants utilisent (ou pas) le Google Drive mis à disposition par le Google/apps familial. Pour ma part, étant sous GNU/Linux, je n'étais pas satisfait des clones permettant d'accéder à mon Google Drive professionnel (pourtant à capacité illimitée ! ). J'ai donc installé sur le NAS familial le logiciel OwnCloud, pour me permettre de synchroniser certaines données avec plusieurs ordinateurs, dont celui que j'utilise au boulot.

Ce système fonctionne très bien, mais ne contient pas toutes les données qui sont sauvegardées par BackupPC. C'est un point sur lequel je dois encore travailler. Je pense tout simplement installer OwnCloud sur le système de sauvegarde OpenMediaVault/BackupPC.

J'ai un disque perso de 4 To qui continue de tourner entre le boulot et la maison, pour l'ensemble des données essentielles (rotation tous les 6 mois). 

Bilan provisoire.

Le cube HP MicroServer Gen8 est très silencieux et son prix vraiment attractif. Son processeur est un peu poussif, et semble être son point faible puisqu'il passe à 100% si deux sauvegardes sont en cours, mais il fait très bien l'affaire.

OpenMediaVault est d'une simplicité remarquable et d'une qualité professionnelle aboutie.

BackupPC est complexe mais efficace. Je pense être encore très loin d'avoir fait le tour de toutes ses possibilités. Par contre, dès qu'un clone fiable de Time Machine sortira...

Quand tout le système sera en place et stabilisé, cela fera un total de 6 disques durs de 4 To destinées aux sauvegardes :
- 4 dans le NAS de sauvegarde
- 1 dans le PC du boulot pour OwnCloud
- 1 hors ligne stocké au boulot.

Cela représente un coût non négligeable, mais qui me paraît dérisoire face à la perte DEFINITIVE des données concernées.

Quelque soit la manière dont vous gérez vos données numériques, le plus important est de veiller à ce que les données les plus chères à vos yeux soient stockées à plusieurs endroits et résistent à un effacement accidentel, à un vol, à une destruction ou à un chiffrement frauduleux.

Pensez-y.



16 commentaires:

  1. Question : comment t'assures-tu de détecter un éventuel chiffrement de tes données par un ransomware ?

    J'ai un système proche du tiens, avec notamment l'hitorisation des fichiers modifiés/supprimés sur 30 jours, cela me met à l'abri des ransomwares... à condition que je l'aperçoive du chiffrement dans le mois. Je crains de passer à côté... Du coup la seule solution que j'ai trouvé est de me faire envoyer automatiquement le rapport de sauvegarde par mail (tous les jours donc) et je vérifie que le nombre de fichier modifié est cohérent (le jour ou j'ai 30000 fichiers modifiés dans la même sauvegarde je sais que j'ai un soucis !). Des avis sur ce sujet ?

    RépondreSupprimer
    Réponses
    1. Je doute sincèrement qu'un chiffrement puisse passer inaperçu pendant 30 jours, vu la violence du processus. Mais comme vous, j'ai mis en place un compte rendu par email pour chaque sauvegarde.

      Supprimer
    2. Si tu utilises un système de sauvegarde incrémentale, du fait qu'il ne copie que les fichiers modifiés, et que lors d'une infection par un ransomware énormement de fichiers le sont, la taille de ta sauvegarde va être bien plus volumineuse qu'à son habitude, encore faut il monitorer ton espace disque.

      Supprimer
  2. Bonjour,
    Je ne comprend pas le paragraphe "externalisation en cas d'incendie", owncloud est hébergé chez vous n'est ce pas ? De plus qu'en est il du chiffrage des données hébergées à l'extérieur ?

    RépondreSupprimer
    Réponses
    1. J'utilise OwnCloud pour pouvoir synchroniser une partie de mes données avec un disque dur présent au boulot (OwnCloud passe bien les firewalls ;-)

      Concernant le chiffrement des données, pour l'instant il est effectué AVANT le transfert vers le système de sauvegarde. C'est un point que je souhaite améliorer, par exemple en chiffrant TOUTES les sauvegardes. Work in progress ;-)

      Supprimer
    2. Quel moyen de chiffrement avez vous mis en place ? Est ce un volume chiffré à la TrueCrypt, ou bien un chiffrement de chaque fichier ? J'ai eu une mauvaise expérience avec la sauvegarde de volumes entiers chiffrés, dans le cas où le volume est corrompu, plus aucun fichier n'est accessible. Qu'en dites vous ?

      Supprimer
  3. C'est pas pour demain le clone de cet excellente solution de sauvegarde qu'est Time Machine, car elle utilise des technos propres au système Apple :
    1) Time Machine fait des sauvegardes incrémentales en se basant sur des événement propres au format HFS+ pour savoir quels ont été les fichiers modifiés,
    2) les sauvegardes incrémentales contiennent des hard links vers les répertoire de la sauvegarde totale, donnant l'impression à l'utilisateur qu'il parcourt toujours une sauvegarde totale.

    RépondreSupprimer
    Réponses
    1. J'ai pour ma part le sentiment que toutes les technos sont disponibles dans l'univers du libre pour réaliser un outils aussi performant et convivial...

      Supprimer
    2. Rsync permet de le faire je crois.

      Pour ma part j'utilise juste les options de backup de tous les fichiers modifiés ou supprimés (sans les hard link), mais rsync le supporte apparemment :
      http://blog.alexou.net/backup-incremental-avec-rsync

      Supprimer
    3. il y a un logiciel sur les nas synology qui fait ca tres bien, et qui s'appelle time backup. Je ne sais pas si il est libre, mais je le suppose, puisque le systeme d'exploitation des nas synology l'est.

      Supprimer
    4. Ce logiciel fonctionne très bien, mais il ne permet pas de sauvegarder les postes de travail. De plus, je ne crois pas qu'il gère la déduplication. Quoi qu'il en soit, je l'ai beaucoup utilisé, mais il reste limité par rapport aux besoins que j'ai indiqués dans le billet.

      Supprimer
  4. Dans notre entreprise nous utilisons un super Mickelson open source du nom de BURP (backup and restore program) qui utilise la technologie rsync , fait de la deduplication et ne fait passer que le delta des fichiers modifiés grâce à quoi nous sauvegardés nos serveurs Linux et Windows: Le top !

    RépondreSupprimer
  5. Dans notre entreprise nous utilisons un super Mickelson open source du nom de BURP (backup and restore program) qui utilise la technologie rsync , fait de la deduplication et ne fait passer que le delta des fichiers modifiés grâce à quoi nous sauvegardés nos serveurs Linux et Windows: Le top !

    RépondreSupprimer
  6. Si vous cherchez un clone de TimeMachine pour le libre, rsync fera parfaitement l'affaire grâce à son option `--link-dest` (à combiner avec d'autres options comme `--archive` ou `--numeric-ids`).

    J'ai créé un petit script autour de tout ça : http://github.com/Frzk/WABACMachine

    Je suis preneur de tout retour/critique/suggestion.

    RépondreSupprimer
  7. Et Veeam Endpoint (gratuit) pour vos postes MS, vous avez testé ?

    RépondreSupprimer
  8. Il existe un clone Open Source de timemachine pour Linux : BackInTime. C'est basé sur Rsync avec une GUI et ça support l'incrémental. Gros plus : il y a plein d'option.

    J'utilise beaucoup et franchement c'est très proche de TimeMachine.

    RépondreSupprimer

Lectrice, admiratrice, avocate, magistrate, programmeuse, dessinatrice, chère consœur, femmes de tous les pays, lecteur, j'ai toute confiance en vous pour prendre bien soin de vérifier que votre prose est compatible avec les normes orthographiques et grammaticales en vigueur. Et si vous pouviez éviter les propos insultants ou haineux, je vous en serais reconnaissant.
N'hésitez pas à respecter ces quelques règles qui peuvent même s'appliquer en dehors de ce blog.

Les commentaires sur ce blog sont modérés. Votre message apparaîtra sur le blog dès que le modérateur l'aura approuvé. Merci de votre patience.