Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Sauvegarde incrémentale avec ZIP protégée par mdp

rpasionaria

Bonjour,

J'ai sur mon ordi un dossier important dont j'aimerais sauvegarder régulièrement.
Je me suis mis à utiliser Grsync pour faire des incrémentations régulières mais je voudrais que la sauvegarde soit protégée sur mon support externe.
Du coup, je me demandais s'il était possible de créer avec rsync une sauvegarde incrémentale compressée en zip et protégée par mdp (pour pouvoir ouvrir sur n'importe quel pc)?

Merci pour votre aide

kamaris

Après un rapide coup d'œil, je n'ai pas l'impression que la compression des données cible soit intégrée à rsync. Seule une compression temporaire des données, pour accélérer par exemple leur transit via un réseau à faible bande passante, est proposée (option -z).

Par contre, zip propose bien un chiffrement des données par mot de passe, tout en signalant qu'il ne s'agit pas d'une méthode très robuste pour chiffrer ses données : « where security is truly important, use strong encryption such as Pretty Good Privacy instead of the relatively weak encryption provided by standard zipfile utilities ». Il est vrai qu'elle a par contre le mérite de la simplicité pour ouvrir ensuite cette archive sur n'importe quel ordi, en particulier sous Windows, où le format d'archive sera surement reconnu et la méthode de chiffrement aussi.

Donc en première approche, tu pourrais faire un

zip -erFS nom-archive répertoire-à-archiver

pour compresser récursivement répertoire-à-archiver (-r), en ne mettant à jour les fichiers que s'ils sont plus récents et / ou de taille différente sur disque et en synchronisant les ajouts / suppressions (-FS), avec protection par mot de passe (-e).

rpasionaria

Intéressant ...
Je peux me créer un script que je lance quand je veux dans ce cas.
Je n'ai jamais créé de script. Je vais chercher sur le forum comment faire.
Merci, c'est cool parce que je m'attendais à "pas possible" vu que je n'avais rien trouvé sur le net.

kamaris

Oh si c'est possible, et il y a même pas mal de solutions pour le faire en fait, c'est plutôt là le problème. Si j'ai bien interprété, quand tu dis que tu veux « pouvoir ouvrir [ton archive] sur n'importe quel pc », elle doit en particulier pouvoir s'ouvrir sous Windows, ou Mac. À ce moment là, tu as au moins comme autre format d'archive possible le format 7z, surement plus performant pour la compression, mais à voir ensuite ce qu'il peut faire au niveau chiffrement.

Par ailleurs, tu peux aussi et surtout séparer la compression et le chiffrement, en utilisant pour ce dernier quelque chose comme veracrypt, qui est multi-plateformes. Et il y a probablement pas mal d'autres méthodes de chiffrement, plus ou moins performantes, et plus ou moins multi-plateformes, au sens où elles seront plus ou moins probablement installées / installables sur un pc lambda. De ce point de vue, comme je disais plus haut, zip me semble être globalement une bonne solution de simplicité.

rpasionaria

Effectivement, je veux pouvoir ouvrir mon archive sur Windows et sur Linux.
J'avais étudié veracrypt mais bien qu'il soit multi-plateformes, il nécessite d'avoir les droits administrateurs ce qui ne sera pas le cas sur tous les ordinateurs.
Je vais essayer avec la commande que tu m'as donné plus haut et je te dirai si ça me convient

Merci beaucoup

rpasionaria

Bonjour Kamaris

Je reviens vers toi parce que j'ai essayé ta commande et cela fonctionne.😃:D
Maintenant je voudrais créer un script pour automatiser cela.

Du coup j'ai quelques questions :
- Comment chercher dans un script le nom donné à ma clef (sda, sdb ou sdc)?
Ma clé samsung se monte automatiquement donc je voudrais qu'il cherche le nom de clé et déplace l'archive sur la clé

- Mot de passe?
Est ce qu'il est possible d'indiquer le mot de passe directement dans le script pour qu'il ne me pose pas la question.
Et dans ce cas, il me faut protéger le script. Comment faire?

Merci pour ton aide

kamaris

Salut,

Ta clef qui se monte automatiquement doit se monter toujours au même endroit, dans /media/$USER/répertoire-de-la-clef. Ce « répertoire-de-la-clef » a un nom bâti à partir des infos dont le système dispose sur le système de fichiers présent sur ta clef. Par exemple, si tu l'as formatée en mettant un label au système de fichiers, le nom du répertoire sera le label, sinon ça sera l'uuid (je crois). Mais à la limite, peu importe : ce qui compte, c'est que ça sera toujours le même nom tant que tu n'auras pas reformaté ta clef, donc tu peux utiliser ce nom dans ton script.

Pour le mot de passe, c'est assez vilain de le mettre en dur dans le script, car un script doit nécessairement être accessible en lecture pour pouvoir être exécuté (car en fait il n'est pas directement exécuté, mais interprété, et pour cela il faut que l'interpréteur puisse le lire). Il existe néanmoins une bidouille qui permet de restreindre les droits en lecture à l'utilisateur root, tout en accordant les droits d'exécution aux simples utilisateurs. Je la mentionne au cas où elle t'inspirerait : https://forum.ubuntu-fr.org/viewtopic.php?pid=22110008
Si tu choisis cette voie, il te faudra utiliser l'option -P de la commande zip. En reprenant la commande donnée plus haut, ça donnerait :

zip -P mot-de-passe -rFS nom-archive répertoire-à-archiver

Sinon, une possibilité est d'utiliser le gestionnaire de mots de passe d'Ubuntu. Il faut d'abord que tu installes l'utilitaire secret-tool, par

sudo apt install libsecret-tools

Ensuite, tu stockes ton mot de passe d'archivage par la commande

secret-tool store --label="mon-label" clef valeur

où « mon-label » est ce que tu veux (par exemple « mot de passe archive »), et le couple clef-valeur également (par exemple utilisateur-moi ou type-archive). Quand tu valideras cette commande, elle te demandera le mot de passe à stocker, et c'est ensuite le couple clef-valeur qui te permettra de retrouver ce mot de passe, par

secret-tool lookup clef valeur

Finalement, tu pourras donc donner le mot de passe d'archivage à la commande zip dans ton script par

zip -P "$(secret-tool lookup clef valeur)" -rFS nom-archive répertoire-à-archiver

Il reste à préciser que le trousseau de clefs dans lequel tu vas stocker ton mot de passe d'archivage peut ou non être lui-même protégé par mot de passe. Par défaut, il l'est, et pour qu'il ne le soit pas, il faut laisser le champ du mot de passe vide lors de sa création (les mots de passe qu'il contient sont alors stockés en clair, évidemment, mais au moins ton mot de passe d'archivage ne sera-t-il pas directement dans le script). Tu peux faire des essais de création de trousseaux avec l'application Seahorse (qui doit être installée par défaut sur ton système).

Il faut également savoir que lorsque tu utiliseras la commande « secret-tool store » ci-dessus, elle stockera le mot de passe dans le trousseau de clefs étiqueté « par défaut » (là aussi, c'est une propriété qui est éditable dans Seahorse, par clic droit sur les trousseaux). Par contre, lorsque tu iras récupérer le mot de passe par la commande « secret-tool lookup », elle ira inspecter tous les trousseaux pour voir si elle y trouve le couple clef-valeur. Tu peux donc faire passer un trousseau particulier en « par défaut » le temps du stockage, puis remettre ton trousseau principal en « par défaut » si tu en as déjà un. Cette manip peut par exemple permettre de stocker en clair, dans un trousseau dédié, uniquement le mot de passe d'archivage, en laissant tous tes autres mots de passe chiffrés dans le trousseau principal.

Voilà ce vers quoi je pencherais dans un premier temps, si on veut en rester à zip aussi bien pour l'archivage que pour le chiffrement, et sans rentrer le mot de passe d'archivage en interactif. Mais si tu peux rentrer ce mot de passe toi-même, ce serait quand même le mieux niveau sécurité, comme le dit la doc : « Whenever possible, use the non-echoing, interactive prompt to enter passwords. »

---

EDIT : un ajout concernant les trousseaux. Normalement, tu dois avoir un trousseau nommé « Connexion », protégé par le même mot de passe que ton mot de passe de connexion à Ubuntu, et qui se déverrouille automatiquement à l'ouverture de la session utilisateur. Si tu fais passer ce trousseau en « par défaut » dans Seahorse (s'il ne l'est pas déjà), secret-tool ira stocker et chercher le mot de passe d'archivage dedans sans te demander le mot de passe de déverrouillage du trousseau, tout en laissant ton mot de passe d'archivage chiffré à la fermeture de la session (et donc à l'extinction de l'ordi). Utiliser ce trousseau est donc probablement la meilleure solution.

rpasionaria

Super .....

Je te remercie vraiment pour le temps que tu as passé à ta réponse et le coté très pédagogue. Ca fait vraiment plaisir de voir qu'il y a des personnes prêtent à aider des néophytes qui s'essaient.

En ce qui concerne la clé, effectivement ça marche. Je crois que je confonds plusieurs choses. Je pensais que le chemin de la clé devrait être sdX. Or quand je branche la clé parfois elle est noté dans Gparted sda ou sdb ou sdc.
Mais en fait /media/$USER/répertoire-de-la-clef ça marche très bien

Donc du coup, maintenant, j'ai quelque-chose de totalement opérationnel.

En ce qui concerne le mdp, je ne veux pas faire les choses moches donc je vais voir ta méthode. Mais de ce que je comprends, le mdp sera en clair quelque part de toute façon. Donc je crois que je vasi continuer à le taper, ce sera plus sage.

Comme la solution fonctionne, je mets en Résolu et je te remercie à nouveau pour ton aide.
A bientôt

kamaris

De rien, c'est vrai qu'au final j'en ai quand même mis une sacré tartine au-dessus 😃
Du coup, tant qu'à faire, je termine :

Pour la clef, les sda, sdb, …, sdx sont bien le nom donné par le système à la clef, mais ensuite il la rattache au système de fichier racine par la commande mount, qui est de la forme

mount /dev/sdx /media/$USER/répertoire-de-la-clef

Cf. man mount.

Pour le mot de passe, il peut ne pas être stocké en clair, mais évidemment, s'il est stocké chiffré, il faudra bien que tu rentres à un moment ou un autre un mot de passe de déchiffrement pour le déchiffrer. Une solution transparente, comme je disais dans mon ajout final ci-dessus, est d'utiliser le trousseau (chiffré) ouvert automatiquement à l'ouverture de ta session.