Après plus d’un an que d’utilisation du Sheevaplug, j’ai largement atteint les limites de ce plug computer (au niveau du disque dur) et j’aspire à un peu plus de puissance pour mon petit serveur personnel.
J’ai étudié les différentes solutions qui s’offrent à moi afin de répondre à mes besoins : de la puissance, en silence, dans un minimum d’espace et à un prix raisonnable…

Un plug-computer

Acheter un nouveau plug-computer me semblait être une bonne idée mais je ne vais pas le faire car j’ai peur d’être à nouveau déçu des performances sur la durée. En effet, au début de l’utilisation du Sheevaplug, je trouvais la machine très véloce et j’étais impressionné par la puissance d’une aussi petite boite.

L’expérience plug-computer ne se poursuit pas pour moi…

Un Mac Mini

En tant que bon utilisateur Apple, j’ai forcément pensé à acheter un Mac Mini pour remplacer le Sheevaplug, j’ai même été à deux doigts d’en acheter un sur un coup de tête mais heureusement il n’y avait plus de stock (surement un signe…).
Bien que le Mac Mini soit une machine incroyablement sexy et qui me plait beaucoup, je ne lui ai pas trouvé suffisament d’avantages pour devenir mon nouveau serveur.

Bien que la solution du Mac Mini soit séduisante, je ne vais pas acheter cette machine car je n’ai pas envie de rester enfermer dans l’univers OS X. Mais également parce que je souhaite administrer mon serveur en ligne de commande (pas de GUI) et enfin parce que c’est une solution qui revient relativement cher (le ticket d’entrée est de 519€ pour un Mac Mini reconditionné).

Un nettop

Je ne suis pas très familier des nettops, mais je dois avouer que ces petites machines m’attirent énormément. Il est presque possible de comparer un nettop à un plug-computer sous stéroïdes mais on perd quelques avantages du plug-computer.

En effet, il est possible de se monter la configuration de son choix, de la taille des disques durs (2”5 ou 3”5), de la carte mère, du processeur, du boitier, à l’alimentation, on contrôle chaque composant de la machine.

Au final, le nettop semble être une excellente solution puisqu’il est possible de se fabriquer une machine parfaitement adaptée à ses besoins. Le plus dur pour moi reste de choisir les différents composants qui sauront répondre à ce besoin tout en respectant un tarif qui ne doit pas dépasser les 250€.

Mon choix

Vous l’aurez donc compris, le prochain serveur de la Sheevaboite, ne sera pas un plug-computer mais un nettop que je monterai moi même. Je n’ai pas encore arreté le choix des composants, mais je pense que je vais me diriger vers un processeur Intel “Cedar Trail” qui peut être refroidi passivement, un boitier sans ventilateur avec une petite alimentation prenant le minimum de place et un petit SSD

Concernant le stockage du prochain serveur, je prend le parti de ne pas avoir de baie pour des disques 3”5 mais uniquement de la place pour des disques 2”5 (au minimum 2 emplacements). Pour la simple et bonne raison que je veux que le serveur occupe le moins de place dans mon meuble. Si je veux brancher des disques 3”5, je les brancherai à ma Freebox et je le monterai au besoin.

Je ferai un prochain article, sur le futur serveur une fois que la difficile étape de sélection des composants, du montage et de l’installation du nouveau serveur sera passée.

Crédit photo : Pentax K-x

J’ai tout un tas d’articles en mode brouillon que je ne sortirai probablement jamais tant ils sont aujourd’hui anachroniques. Par exemple, belle affaire que de publier aujourd’hui un comparatif à peine entamé des propositions des deux grandes formations politiques en matière de numérique, vu que les dés sont jetés.

Et pourtant il y aurait grand besoin de leur rappeler leurs bonnes intentions de campagne, et même un peu plus.

On nous a rabâché, de gauche comme de droite, pendant des mois, que le numérique était un acteur prépondérant et en forte croissance sur le marché, que l’innovation était le moteur qui garantirait une part non négligeable de notre avenir à tous, que… WAIT !… Le numérique, OK, c’est des sous, et même un gros tas de sous, je vais pas dire le contraire, une partie des sous qui me font vivre viennent de là.

On nous a rabâché aussi que sur internet, y’avait plein de pédophiles, qu’on pouvait y apprendre comment fabriquer des bombes et même y voir des vidéos de gens entrain de se faire charcuter… WAIT… Le numérique, OK, c’est des horreurs, et même un gros tas, je vais pas dire le contraire, ça m’arrive encore de faire des blagues avec rotten.com et j’ai participé de près ou de loin à quelques chasses contre les ennemis de l’enfance qui sévissent en ligne.

Mais finalement, en y regardant bien, c’est un peu comme dans la vraie vie. Sur internet, en plus des chats et du porn, y’a des patrons bourrés de pognon et des gens pas fréquentables.

Crédit photo : Corinne Lacueille & Laurent Chemla

Mais sur internet, il y a quelque chose qu’il n’y a pas dans la vraie vie. Quelque chose que de trop rares personnalités politiques ne défendent que du bout des lèvres avant de traiter des sujets parait-il plus sérieux.

Avant les startups, les pédophiles, le porn et peut-être même les chats, le numérique, c’est surtout une chance. Une chance pour la liberté d’expression, une chance pour l’éducation des jeunes et des moins jeunes, une chance pour aller vers l’autre plutôt que de se replier dans son petit univers, bref, une chance d’aller vers un monde meilleur.

Oui, je sais, ça fait très bisounours, exposé comme ça. Oui, je sais, il faut aussi contenter les patrons et laisser la police faire son travail, mais il faut rêver plus loin aussi, et travailler pour que les rêves deviennent réalité.

Mon rêve à moi, juste après celui de flinguer toutes les boitâkons du monde, c’est un internet neutre. Neutre dans son traitement des flux, neutre dans son acceptation des gens, neutre dans sa relation avec les autres puissances en ce bas monde. Il est déjà tout ça par nature, il faut juste que tous ces excités l’acceptent et permettent à ceux qui en sont exclus de pouvoir y venir.

A bon entendeur …

J’utilise énormément le Freebox Player car c’est le moyen, le plus simple, le plus stable de diffuser des contenus multimedias sur ma télévision. Mais la semaine dernière j’ai failli apprendre à ma freebox comment voler.
En effet, d’un seul coup il m’a été impossible de monter le partage de la Freebox dans mon Finder et malheureusement je n’ai trouvé aucune aide sur Google…

La cause du problème

J’ai beaucoup pesté contre Free, j’ai pensé que la mise à jour 1.1.6 était la responsable de mon bug, mais aucune trace de bug sur le bugtracker, mon salut est venu du géniallisime forum de Macbidouille.
En effet, il est connu que les Macs laissent trainer des nombreux fichiers sur les partages réseaux et il semble que ce soit la cause du problème.

La solution proposée sur le forum consite à supprimer tous les fichiers invisibles “Apple”, mais comme il n’est pas possible de se connecter avec le Finder comment faire pour enlever ces ficheirs invisibles ?

Suppression des fichiers cachés

Il y a plusieurs moyens pour supprimer ces fichiers, soit on utilise un ordinateur Windows et on accède au Freebox Player avec le partage Samba, soit on utilise l’interface de la Freebox pour voir les fichiers présents sur le Player :

• Si vous voulez utiliser la première technique, assurez-vous d’avoir activé le partage Samba dans la configuration de la Freeebox. Et supprimez tous les fichiers commençant par un point.
• Pour le deuxième cas, vous n’avez besoin de rien configurer, ouvrez l’explorateur de fichiers du Freebox Player et supprimer les fichiers

J’ai utilisé la première technique avec une machine virtuelle, j’avais oublié l’explorateur de fichiers de la Freebox et une fois que les fichiers ont été supprimés, comme par magie le montage de la Freebox dans le Finder refonctionne comme si de rien n’était.

Pour éviter que cela se reproduise…

Je connaissais une commande, qui permet d’êmpecher les Macs d’écrire leur fichiers invisibles sur les montages réseau. J’ai donc executé la commande suivante sur tous les Macs de mon domicile en espérant ne plus être confronté à ce problème :

$> defaults write com.apple.desktopservices DSDontWriteNetworkStores -bool true

Avec cette commande, les ficheirs invisibles des Macs ne devraient plus être créé sur la Freebox et on doit être débarassé du problème pour toujours… Enfin je l’espère!

Source : Connexion Freebox Server impossible, Invité ou Référencé, rien n’apparait

Je suis devenu un huge fan de tmux qui permet de faire énormément de chose dans son terminal. J’en ai déjà parlé il y a quelques temps sur la Sheevaboite en vous présentant ma configuration (qui a bien changé depuis).
Aujourd’hui, je vais vous présenter une fonctionnalité que je viens de découvrir et que je regrette de ne découvrir que maintenant…

Connexions multiples en SSH ?

Ne vous est-il jamais arrivé de devoir accéder à plusieurs serveurs en même temps pour supprimer un fichier, monitorer des logs ou autre réaliser une action qui nécessitait de taper plusieurs fois les mêmes commandes dans différents terminaux ?
Les plus malins d’entre vous connaissent déjà ClusterSSH (ou CSSH pour les intimes) ou Fabric qui permet de justement se connecter à plusieurs serveurs et d’exécuter des commandes en ne les saisissant qu’une seule fois dans une petite fenêtre modale.

Si jamais vous utilisez tmux, vous allez pouvoir désinstaller ClusterSSH et si vous n’utilisez pas tmux voici encore une autre bonne raison de le faire.

Tmuxinator pour gérer les sessions

Avant de parler de tmux, voici Tmuxinator est un utilitaire développé en ruby qui permet de facilement gérer des configurations de sessions tmux. C’est tmuxinator qui devenir très utile pour démarrer une session tmux avec des configurations précises, par exemple ouvrir un pane avec une session SSH pour chaque serveurs.
Comme c’est développé en ruby, l’installation est triviale :

$> gem install tmuxinator

Une fois l’installation terminé, il faut configurer un peu son environnement pour y intégrer tmuxinator. Vérifier que les variables $EDITOR et $SHELL existent puis ajouter la ligne suivante dans votre environnement (dans votre fichier bashrc ou .zshrc) afin qu’elle soit exécutée au démarrage de votre shell :

# Si jamais vous n'avez pas défini $EDITOR et $SHELL, à adapter bien sur
export SHELL=/bin/zsh 
export EDITOR=vim

[[ -s $HOME/.tmuxinator/scripts/tmuxinator ]] && source $HOME/.tmuxinator/scripts/tmuxinator

Une fois la configuration terminée, on peux créer une configuration que l’on va appeler serveur :

$> tmuxinator open serveur

Si la configuration est ok, vous devriez avoir l’appli vim ouverte avec un fichier pré-configuré, mais nous allons le modifier pour l’exemple avec la configuration suivante. Nous allons ouvrir une session avec une seule fenêtre et 4 “panes” :

# ~/.tmuxinator/serveur.yml
# you can make as many tabs as you wish...

project_name: serveur_truc
project_root: ~/
tabs:
  - serveurs:
      layout: tiled
      panes:
        - ssh serveur01
        - ssh serveur02
        - ssh serveur03
        - ssh serveur04

Sauvez et quittez et vous pouvez maintenant ouvrir une session tmux nommé “serveur” avec la commande suivante :

$> tmuxinator start serveur

Et voilà !

Faire du CLusterSSH dans tmux

La configuration de tmuxinator est terminée, maintenant place à un peu de configuration de tmux. Tmux dispose d’un mode de synchronisation de la saisie qui permet de saisir une fois une commande et la voir s’afficher dans tous les panes. Voici la commande qui permet d’activer ce mode :

set-window-option synchronize-panes on

Ce qu’il faut faire, c’est mapper ce mode avec un raccourci et ca me semble pas mal de l’activer ce mode avec la touche s. Pour faire cela il faut ajouter les lignes suivantes dans votre fichier tmux.conf :

unbind s
bind s set -g synchronize-panes

Dorénavant, lorsque vous voudrez activer ce mode, il vous suffira de faire le raccourci CTR+x s pour voir vos commandes s’afficher dans tous les panes ouverts. Une fois que vous aurez terminé, il faudra bien entendu désactiver ce mode.

Conclusion

Ce petit tutorial vous a montré comment facilement mettre en place un clone de CSSH. Alors, vous n’avez pas forcément besoin de tmuxinator pour profiter du “mode CSSH” de tmux, mais c’est un confort agréable pour ouvrir tous les panes en une seule commande.
J’espère que cela vous aura donné envie de tester un peu tmuxr

• Contenu : explications sur la cryptographie, SSL et PGP puis signing-party
• Lieu : EPN la Bourdonnais, 105 avenue de la Bourdonnais, 75007 Paris
• Date : 2012-05-21 18:45+02:00
• Durée : 02:15

Le lundi 21 mai au soir, à Paris, se tiendra une conférence organisée par Parinux, où j'expliquerai les principes de base de la cryptographie et leur application dans les systèmes SSL et PGP. Cette conférence sera suivie par une signing-party PGP et CAcert.

Pour le déroulement de la signing-party, je vous demanderai de :

1. générer un paire de clefs si vous n'en avez pas déjà une ;
2. m'envoyer votre clef publique et vous inscrire ;
3. imprimer quelques exemplaires de votre empreinte de clef ;
4. imprimer la liste des participants que je vous enverrai ;
5. venir munis de tout cela ainsi que d'un stylo et d'une ou deux pièce d'identité.

Conférence

Cette conférence commencera à 18:45. Elle aura pour but de comprendre les principes et les enjeux des systèmes cryptographiques utilisés aujourd'hui. Pour cela, je donnerai :

1. une brève description de l'histoire de la cryptographie ;
2. une petite explication des principes mathématiques des cryptosystèmes asymétriques ;
3. une explication des systèmes de certification ;
4. une présentation pratique du système OpenPGP avec son implémentation libre GnuPG.

Signing-party

À l'issue de la conférence, vers 20:30, nous procéderons à une signing-party. Il s'agira pour les participants de vérifier mutuellement leur identité afin de certifier leurs clefs PGP.

Cette signing-party sera également l'occasion, pour les utilisateurs de l'autorité de certification SSL CAcert, de certifier leur identité dans le cadre de cette organisation.

Détails pratiques

Il vous est demandé de vous inscrire afin d'évaluer le nombre de participants.

Si vous n'utilisez pas encore PGP, vous pouvez générer une paire de clefs avec la commande suivante, ou en utilisant un outil graphique tel que ceux fournis avec les bureaux GNOME et KDE :

$ gpg --gen-key

Pour faciliter le déroulement de cette signing-party, veuillez m'envoyer votre clef publique. Vous pouvez exporter votre clef dans un fichier avec la commande suivante (indiquez votre adresse à la place de celle de Tintin…), ou en utilisant un outil graphique :

$ gpg --armor --export tintin@example.com

Pour permettre aux participants tardifs de participer, il sera également utile de vous munir de morceaux de papier indiquant votre empreinte de clef ; vous pouvez en générer avec l'outil gpg-key2ps du paquet Debian signing-party, ou copier plusieurs fois la sortie de la commande :

$ gpg --fingerprint tintin@example.com

Le jour venu, vous aurez besoin à cette signing-party d'un exemplaire imprimé par vos soins de la liste des participants que je vous enverrai, ainsi que d'un stylo.

Pour les utilisateurs de CAcert, veuillez venir avec une bonne liasse de formulaires d'accréditation pré-remplis à votre nom (en tant que demandeur et en tant qu'accréditeur pour ceux qui ont assez de points pour cela).

Les amis de chez Free ont activé ce midi le service d’authentification EAP-SIM sur les Freebox dont le service wifi est activé. Un petit reboot de la Freebox fait apparaitre un nouveau SSID « FreeWifi_secure » dans les environs.

Si vous avez de la chance, votre terminal mobile devinera tout seul que ce nouveau réseau demande une authentification EAP-SIM. Sinon, il va falloir lui expliquer, si toutefois il est compatible (ce qui semble être le cas des iphones 4 & 4s et des ipad 3g)

Le principe de l’authentification en question est de faire dialoguer automatiquement la SIM avec le point d’accès wifi le plus proche et de réaliser une authentification sans intervention de l’utilisateur (sauf la première fois).

En ce qui concerne les produits à la pomme, si on vous demande un login/pass lors de la première tentative de connexion, il va falloir aller récupérer un petit outil nommé « utilitaire de configuration iPhone » (qui marche aussi pour l’iPad) dans lequel vous allez pouvoir créer un profil contenant tout un tas d’informations.

On va se limiter à la configuration Wifi. Vous devez créer un profil, lui donner un nom et un identifiant (mettez ce que vous voulez) puis, dans la partie Wifi, une ligne pour le SSID « FreeWifi_secure » (sensible à la casse) et indiquer une authentification « tous types (entreprise) » puis cocher « EAP-SIM » plus bas. Appliquez la ensuite à votre iBidule et… Voilà !

Il ne reste plus qu’à mettre une Freebox Optique avec une antenne pointée vers les quais de Gare du Nord et ce sera le bonheur :)

PS : remarque de @ZeuGri qui m’a aidé sur ce coup : ça marche pour tous les réseaux mobiles compatibles EAP-SIM… Pas que chez ceux qui ont tout compris :)

Pas d’articles depuis presque deux mois, pas même un post anniversaire, des problèmes de stabilité, et des problèmes de débits avec Free. On pourrait presque croire que j’ai laissé tomber la SheevaBoite, mais ce ne sont que des apparences.
Car dans les coulisses, j’en ai profité pour aporter un gros changement au blog comme vous avez du vous en rendre compte…

Changement de moteur…

Tout d’abord au revoir PluXml que j’ai utilisé pendant plus d’un an sans aucun gros problème. Avec le recul, j’ai deux reproches à lui faire : son processus de mise à jour et son module de commentaires.

Aujourd’hui j’ai décidé de tourner la page et d’utiliser Jekyll qui est un générateur de blog “statique”. Je ne vais pas trop rentrer dans les détails, mais le blog sur lequel vous naviguez est uniquement composé d’un ensemble de pages html statiques.

Bien que Jekyll soit un outil relativement simple comparé à PluXml ou autres WordPress, il est étonnement puissant. En effet, je peux maintenant écrire mes articles en markdown directement dans Vim, et les voir s’afficher en live directement dans mon navigateur grâce à LiveReload. Ensuite je publie avec une petite tâche rake qui me combine, minifie mes CSS, me fait le commit dans git et qui me rsync les données sur mon serveur.
Ainsi la sheevaboite est automatiquement versionnée et le blog mis à jour avec le nouveau contenu, c’est très geek mais ca me plait…

Quelques petits inconvénients

Jekyll n’est pas une solution de blogging parfaite, elle a certains inconvénients. Par exemple pour la gestion des commentaires. Comme le site est entièrement statique, il n’est pas possible d’avoir un système de gestion de commentaires, il est obligatoire d’utiliser un service externe comme Disqus que j’ai choisi temporairement.
Pour l’instant les anciens commentaires n’ont pas été intégrés dans Disqus car j’ai des petits problèmes d’imports.

Il y a aussi deux, trois petits détails qui n’ont pas été propagés sur l’ensemble du site (les dates en français, la coloration syntaxique du code, les boutons Twitter/GooglePlus) mais qui ne gênent pas la navigation du blog, je tâcherai de corriger tout ça rapidement.

Changement de thème

J’en ai également progfité pour changer le thème de la Sheevaboite qui arbore fièrement un nouveau design qui n’est pas basé sur Bootstrap mais sur Foundation de Zurb. Au final ca ressemble beaucoup à Bootstrap mais en plus léger et avec un HTML bien moins verbeux.

Je me suis relativement inspiré du thème par défaut d’Octopress (un utilitaire pour faciliter l’utilisation de Jekyll) pour ce qui est de la version “écrans de petites tailles”.

Du coup, le poid de la page a diminé de 66% par rapport à l’ancienne version (en comparant des pages similaires).

Pas de changement de serveur pour l’instant

Je me pose beaucoup de questions en ce moment si je dois garder le Sheevaplug ou changer pour un serveur plus puissant. Car même si le serveur semble un poil plus stable depuis que j’ai changé de disque dur il plante toujours de manière imprévisible et le manque de puissance se fait vraiment sentir et ça me frustre un peu.
Du coup, je ne peux plus installer de nouveau service de peur de voir le serveur planter plus souvent et pourtant j’ai bien envie d’installer de nouvelles choses.

Bref, je ne suis pas encore décidé sur la suite des évènements sur la Sheevaboite mais je risque de vous demander votre avis sur le sujet dans un futur plus ou moins proche…

Conclusion

Voilà ce que je pouvais dire sur la SheevaBoite aujourd’hui ! On entre dans un nouveau cycle et j’ai de nouveau la motiv’ pour bloguer (adieu administration, bonjour ligne de commande).
Si vous remarquez un bug graphique ou autre n’hésiter pas à poster un petit commentaire car le formulaire de contact n’existe plus (adieu spam).

Après avoir fouiné pour trouver des équivalent libre à l'environnement Google, j'ai pendant quelques temps arrêté de chercher à m'émanciper des services indépendants de mon serveur. J'étais déjà bien équipé.

Ceci-dit, on ne change pas ses habitudes.

J'ai des difficultés à installer la dernière version de StatusNet et le bridge Twitter qui va avec. L'instance StatusNet fonctionne très bien. Je peux m'en servir sans problème et tout ce que j'écris est correctement publié sur ma timeline Twitter.

Je n'arrive cependant pas à avoir accès à ma timeline Twitter directement via ma cession de son équivalent libre. C'est assez rageant alors qu'on pense avoir tout fait pour que ça fonctionne.

Bref, JBFavre m'aide gracieusement et je suis avec plaisir ses conseils.

Pour lui montrer mes soucis, je devais lui envoyer les messages d'erreurs qui m'inondent alors que j'essaye de faire de mon mieux pour résoudre ce souci.

En bon geek, j'ai le réflexe Pastebin.

En libriste obsédé par l'auto-hébergement : Il doit y avoir un équivalent libre !

DuckDuckGo me ressort Stikked !

Stikked,c'est donc du Pastebin libre à installer sur son serveur.

Il n'était pas le seul à apparaître dans ma recherche, mais c'est de loin le plus joli à utiliser.

Admirez l'interface :

Voyez les options proposées :

• Nom du créateur
• Titre du past
• Langage du past (plus de 50)
• Utiliser une URL courte ou pas
• Créer un past prive ou public
• Délai avec expiration

Que demander de plus ?

Auto-hébergés, à vos serveurs !

Important pour finir son installation

Pour celles et ceux qui se lanceraient dans son installation, sachez qu'un souci apparaît alors que tout semble parfait : une erreur lorsque vous créez votre past.

The URI you submitted has disallowed characters.

Pour la corriger, il vous faudra commenter la ligne suivante dans system/application/config/config.php avec un #.

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_-';

C'est à dire :

# $config['permitted_uri_chars'] = 'a-z 0-9~%.:_-';

Bonne installation !

Les liens :

• Stikked - Site officiel
• Solution au bug

Plusieurs solutions ont été présentées pour fiabiliser le stockage des données grâce à un RAID efficace (voir l'article ici). Vu la durée de vie des supports optiques (voir l'excellent article de 01Net ici) et la taille des disques durs actuels, la copie de ses données vers un support qui évoluera avec le temps est plus que recommandée.

Toutes les sauvegardes faites sur CD et DVD ROM (photos de famille, documents archivés, etc.) auront plus de chances de survivre au temps si elles sont intégrées dans une démarche de sauvegarde plus globale.

Plusieurs points sont à prendre en compte pour que cette sauvegarde soit efficace :

1. Choisir les supports de travail et de sauvegarde

Il est important qu'au moins l'un des deux supports puisse être considéré comme "fiable". Comprendre dans ce sens, que le risque de défaillance du support doit être faible, ou plus faible que celui de l'autre support. Par exemple, si le support de travail est un SSD, on pourra trouver cette fiabilité en utilisant un disque dur classique pour les sauvegardes. Si au contraire, le support de travail est une grappe RAID, on pourra utiliser un disque plus classique pour les sauvegardes.

Les sauvegardes pourront être faites sur le même serveur, cela pourra être pratique dans le but de garder les versions antérieures d'un fichier. Mais il faudra privilégier l'utilisation d'un NAS sur le même réseau, voire même l'utilisation d'un serveur géographiquement séparé du premier.

Si le support de sauvegarde est géré par un tiers, les données stockées pourront également être cryptées par mesure de sécurité.

2. Organiser ses données et définir les formats

Pour sauvegarder ses archives personnelles, il est important de définir quelques règles quant aux formats utilisés et le classement des fichiers. Cela permettra de retrouver plus facilement un fichier en particulier.

Tout d'abord, on choisira avec soin le format des données à stocker. Par exemple, pour les images de CDs/DVDs, le format ISO est assez normalisé et est très répandu. Pour les courriers et documents scannés, le PDF semble approprié car lisible sur la majorité des systèmes. Les musiques pourront être encodées en MP3, également dans le but d'être lisibles par n'importe quel appareil (OGG pourra être préféré car c'est un format libre, mais malheureusement pas encore lisible par l'intégralité des appareils mobiles).

Du côté classement, la hiérarchisation des données pourra se faire dans une arborescence à plusieurs niveaux. Le premier pourra être le type de données : Musiques, Films, Photos, Images de disques, Documents archivés, Système (qui contiendra les sauvegardes des dossiers utilisateurs et du système de chaque serveur).

Ce type de classification permettra également de séparer le type de support utilisé pour chaque dossier. Dans la plupart des cas cela ne sera pas nécessaire, mais pour un système hébergeant les sauvegardes de nombreux utilisateurs ou de nombreux systèmes, il est bon de savoir que les petits et les gros fichiers n'ont pas les mêmes besoins en termes de stockage et de vitesse de recherche.

Le second niveau de classement pourra être une répartition : par date pour les documents et photos, par artiste pour les musiques, par type pour les films, etc.

Dans le cas d'une classification par date, les dossiers et fichiers pourront être nommés en suivant la convention suivante : Année-Mois-Jour suivi du titre du document. Ce nommage ("2012-03-11 Compte rendu de réunion.odt") permettra un tri rapide des documents par leurs noms, et indépendant de leur date de création ou de modification.

3. Tout copier, tout encoder

L'idéal est de réussir à stocker toutes les données au même endroit. Si vous avez un NAS, vous avez peut-être déjà pris cette habitude. Sinon, prenez-la dès maintenant ! Il sera plus facile de s'y retrouver par la suite.

Ensuite pour être sûr de toujours stocker les nouvelles données au même endroit, sous Windows le montage de lecteurs réseau facilitera l'accès à ces données, et sous Linux l'excellent AutoFS rendra l'utilisation vraiment transparente !

Voilà pour le contenant, maintenant le contenu.

Côté documents officiels, certains doivent être conservés 1 an, 5 ans, 10 ans, voire même toute une vie. Une liste ici des principaux. Personne n'est à l'abri de perdre ces documents, et même si la copie informatisée n'est pas encore officiellement reconnue, prendre un peu d'avance ne fera pas de mal.

Il existe plusieurs formats de PDF, avec ou sans reconnaissance des caractères, et au moins autant de logiciels permettant de les générer, les trier et les rechercher.

Pour les vidéos, ressortez vos Super 8 et autres bandes magnétiques, avant que leur qualité ne se dégrade trop avec le temps, organisez une séance visionnage avec vos proches et n'importe quel appareil capable de filmer le résultat. Le film ne perdra pas trop de qualité vu le support de base, mais les pros pourront opter pour du matériel spécifique à cet usage.

L'encodage d'un fichier Avi venant d'un appareil photo numérique ou d'une caméra, pourra se faire vers un Divx ou autre format au choix avec Avidemux par exemple.

Toujours dans le cadre de la copie privée, l'encodage des DVD en Divx pourra être réalisé facilement grâce au logiciel AcidRip, vos proches seront ravis de pouvoir télécharger chez vous une copie du film du baptême de votre filleul !

Même sort à vos albums et compilations de musique, il sera beaucoup plus simple de retrouver un MP3 ou un OGG dans une bibliothèque numérique que dans la pile de CDs sur votre bureau (j'ai toujours une pile de CDs près de mon bureau, pas vous ?).

Pour les collectionneurs, ne pas oublier non plus les vinyles, plus longs à encoder mais dont le transport ou la manipulation s'avère toujours risqués. La lecture de cette copie pourra être faite à partir de n'importe quel périphérique sur le réseau, évitant ainsi de dégrader le support original.

4. Sauvegarder ses archives

La partie importante de la sauvegarde des archives est de pouvoir récupérer des fichiers évoluant peu dans le temps (une photo, une vidéo ou une musique ne risquent pas d'évoluer, contrairement aux fichiers d'un système d'exploitation). Cette sauvegarde ne sera pas nécessairement cryptée, mais dans le cas où elle devrait l'être (documents officiels, professionnels, personnels ou simplement pour utiliser un support de stockage "en ligne"), on se reportera à la partie suivante de cet article.

Sous Linux, le programme le plus adéquat pour copier uniquement les nouveaux fichiers ou ceux ayant été modifiés et renommés, sera sans doute RSync. Un simple CP pourra aussi convenir pour sauvegarder les nouveaux fichiers ou ceux ayant été modifiés. Dans ce cas, la suppression d'un fichier ne sera pas répercutée, mais en cas de déplacement d'un fichier, ou de renommage, le fichier sera dupliqué pendant la sauvegarde (ce qui peut être gênant avec des films).

Avec CP : cp -R -u /répertoire/travail /répertoire/sauvegarde (-R : récursif, -u : ne pas copier les fichiers existants dans la destination sauf s'ils ont été modifiés).

Avec RSync, le tutoriel de System-Linux.eu pourra être suivi.

L'utilisation de Cron sera idéale pour faire cette sauvegarde automatiquement. Un script pourra être créé dans un sous répertoire "scripts" de /home/votre_utilisateur et l'appel à ce script se fera dans le fichier /etc/crontab en y ajoutant la ligne :
0 0     * * *      votre_utilisateur      /home/votre_utilisateur/scripts/backups.sh

Ne pas oublier de rendre le script exécutable avec la commande : chmod 755 /home/votre_utilisateur/scripts/backups.sh
Au cas où le script devrait contenir un ou plusieurs mots de passe pour accéder aux supports de stockages, il faudra plutôt utiliser : chmod 700 /home/votre_utilisateur/scripts/backups.sh

Il pourra être intéressant de choisir une heure où le système est peu utilisé. Pour cela, soit il faut bien connaître son système et définir l'heure durant laquelle il n'est pas utilisé, soit observer son système pendant au moins une semaine grâce à des outils de supervision comme Munin.

Si des fichiers de nombreux utilisateurs doivent être copiés, le script peut être exécuté par l'utilisateur root dans /etc/crontab.

Dans ce cas, il faudra aussi s'assurer que root a accès en lecture et exécution au script : sudo chown root:root /home/votre_utilisateur/scripts/backups.sh && sudo chmod 700 /home/votre_utilisateur/scripts/backups.sh

5. Sauvegarder un système

En cas de panne matérielle, ou d'une modification tournant à la catastrophe, c'est ce type de sauvegarde qui vous fera gagner le plus de temps sur la remise en fonction de tous vos services.

Cette sauvegarde automatique devra être faite au moins une fois par jour sur un système en fonctionnement, elle pourra être plus fréquente pendant les jours où de grosses modifications seront appliquées au système.

Pour limiter l'espace utilisé sur le support de sauvegardes, il sera plus efficace d'utiliser une sauvegarde incrémentale journalière et une sauvegarde complète par semaine ou par mois.

Avant de la mettre en place, il faudra définir avec soin les dossiers à ne pas prendre en compte. Soit parce qu'ils sont déjà gérés par une autre sauvegarde (musiques, vidéos, photos et autres fichiers ne nécessitant pas d'être sauvegardés chaque semaine), soit parce que ce sont des dossiers spéciaux ou gérés par le système (/dev, /tmp, /proc, ...).

Cron sera aussi utilisé pour planifier l'appel au script de sauvegarde de manière journalière, comme dans la section précédente, mais ici c'est Duplicity qui sera utilisé pour les backups complets et différentiels.

Le script suivant pourra être utilisé et adapté selon les besoins. Il permet de créer une sauvegarde cryptée d'un dossier et de l'envoyer sur un serveur FTP.

Avant tout, il faudra installer GnuPG afin de crypter les backups (indispensable d'un point de vue sécurité si vos sauvegardes sont faites sur Internet ou sur un NAS en accès libre sur votre réseau). On ajoutera aussi Ncftc pour les accès FTP.

Pour l'installation : sudo apt-get update && sudo apt-get install gpg ncftp duplicity

Il faudra ensuite créer une clé pour le cryptage, ou importer des clés GnuPG existantes à partir d'un fichier.

Dans le premier cas, utiliser la commande gpg --gen-key pour créer un couple clé-privée clé-publique.

Dans le second cas, il faudra utiliser la commande gpg --import [fichier] pour importer une clé existante.
(Pour exporter une clé existante d'un autre serveur, il faudra utiliser la commande gpg --list-keys pour lister les clés publiques et gpg --list-secret-keys pour les clés privées. L'export vers un fichier se fera avec la commande gpg -a --export [identifiant de la clé] > [fichier]. Plus d'informations sur cette page du site de GnuPG.)

Voici un script permettant de faire le backup complet d'une machine vers un serveur FTP. Ce script est à adapter selon vos besoins, il peut également être utilisé pour sauvegarder un dossier particulier du serveur en adaptant les variables REP_FROM et REP_TO.

La variable DUPLICITY_KEY doit contenir le nom de la clé publique GnuPG à utiliser (il sera prudent également de garder une copie du couple de clé en sécurité sur un autre serveur). S'il existe une phrase de passe avec la clé GnuPG (recommandé !), il faudra l'exporter dans la variable PASSPHRASE.

Le mot de passe du compte FTP doit être exporté dans la variable FTP_PASSWORD (le nom d'utilisateur fait partie de la variable REP_TO).

Le script contenant de nombreuses informations sensibles, il est important de ne le rendre accessible qu'à l'utilisateur root avec :
sudo chown root:root /home/votre_utilisateur/scripts/backups.sh && sudo chmod 700 /home/votre_utilisateur/scripts/backups.sh
Les clés GnuPG devront être importées par l'utilisateur root afin de pouvoir les utiliser dans ce script.

D'autres paramètres pourront être ajustés dans le script :

Le temps maximum entre chaque sauvegarde complète dans COMMAND_DUPLICITY. Lorsque la dernière sauvegarde complète date de moins d'une semaine (--full-if-older-than 1W), Duplicity créera des sauvegarde incrémentales.

Le temps maximum avant l'expiration des sauvegardes dans COMMAND_DUPLICITY_CLEAN. Dans la pratique les sauvegardes complètes ne seront supprimées que lorsque toutes les sauvegardes incrémentales dateront de plus de 2 semaines (remove-older-than 2W).

export PASSPHRASE='phrase de passe'
export FTP_PASSWORD='mot de passe'

REP_FROM="/"
REP_TO="ftp://votre_utilisateur@serveurFTP/sauvegardes/serveur1"
DUPLICITY_KEY="Identifiant clé GnuPG"

PARAM_DUPLICITY_IGNORE="--exclude /mnt --exclude /tmp --exclude /proc --exclude /sys"

COMMAND_DUPLICITY="duplicity --encrypt-key $DUPLICITY_KEY --sign-key $DUPLICITY_KEY --full-if-older-than 1W --num-retries 3"
COMMAND_DUPLICITY_CLEAN="duplicity remove-older-than 2W --force --encrypt-key $DUPLICITY_KEY --sign-key $DUPLICITY_KEY --num-retries 3"
COMMAND_DUPLICITY_LIST="duplicity collection-status"

echo "////////////////////////////////////////////////////////"
echo "Synchronisation de : $REP_FROM"
echo "              vers : $REP_TO"
date
echo "////////////////////////////////////////////////////////"
echo ""
echo "+-----------------+"
echo "| Synchronisation |"
echo "+-----------------+"
echo ""
$COMMAND_DUPLICITY $PARAM_DUPLICITY_IGNORE "$REP_FROM" "$REP_TO"
echo ""
echo "+---------------------------------+"
echo "| Suppression des anciens backups |"
echo "+---------------------------------+"
echo ""
$COMMAND_DUPLICITY_CLEAN "$REP_TO"
echo ""
echo "+-------------------------------+"
echo "| Liste des backups disponibles |"
echo "+-------------------------------+"
echo ""
$COMMAND_DUPLICITY_LIST "$REP_TO"
echo ""

En cas de crash de Duplicity pendant la sauvegarde, il peut être intéressant de rajouter le paramètre -vinfo (niveau de verbosité = info) pour voir quel est le fichier ou le chemin qui pose problème et l'ajouter dans la variable PARAM_DUPLICITY_IGNORE.

Il est important d'exclure les dossiers /mnt /proc et /sys qui contiennent des dossiers virtuels non réellement présent sur le disque dur du serveur. Quant à lui, /tmp n'est pas censé contenir des données stockées définitivement.

6. Tout restaurer à partir des sauvegardes

Dans le cas de la restauration d'un sous-dossier en particulier, ou d'un fichier sur un système encore en fonction, la suite du document pourra être suivie.

Dans le cas d'une restauration complète à partir de la racine même d'un système hors service, il faudra démarrer une distribution de Linux sur un Live-CD et y installer Duplicity et GnuPG : sudo apt-get update && sudo apt-get install gpg ncftp duplicity

Ensuite, pour pouvoir déchiffrer les données stockées, importer la clé privée GnuPG que vous aviez gardé en sécurité (d'où l'importance de ne pas garder cette clé seulement sur votre serveur, mais aussi de la copier sur un autre PC ou sur une clé USB que vous gardez précieusement dans votre coffre-fort) : gpg --import [fichier]

Pour la restauration d'un fichier en particulier, ou d'un chemin complet, ce sont les commandes suivantes qu'il faudra utiliser après avoir défini au préalable l'emplacement de restauration :

export PASSPHRASE='phrase de passe'
export FTP_PASSWORD='mot de passe'

REP_FROM="/votre/point/de/montage/restore"
REP_TO="ftp://votre_utilisateur@serveurFTP/sauvegardes/serveur1"
DUPLICITY_KEY="Identifiant clé GnuPG"

duplicity restore --encrypt-key $DUPLICITY_KEY --sign-key $DUPLICITY_KEY "$REP_TO" "$REP_FROM"

L'emplacement de restauration pourra être un dossier temporaire de votre système, un dossier de travail d'un autre ordinateur, ou bien un point de montage correspondant au disque dur sur lequel la restauration doit être faite. Dans le cas d'une restauration complète du système (à partir d'un live CD), il faudra ajouter le paramètre --numeric-owner à cette dernière commande.

Pour spécifier le fichier ou le dossier à restaurer, il faut ajouter le paramètre --file-to-restore suivi de l'emplacement désiré.

S'il faut restaurer les fichiers à une date précise (fichier corrompu, effacé accidentellement la semaine dernière, etc.), le paramètre --restore-time pourra être ajouté et suivi soir d'une date au format YYYY/MM/DD, ou bien le nombre de jours XD (avec X le nombre de jours), de semaines XW, de mois XM, plus d'informations : man duplicity, voir le paragraphe "TIME FORMATS".

Sources

La page Duplicity du Wiki Auto-Hébergement
La page Duplicity du Wiki Debian
Un article Duplicity sur le site Dedian Administration
Le mini how-to de GnuPG