Pour la sauvegarde, on utilise Borg Backup avec le gestionnaire Borgmatic, exécuté par un compteur (timer) de Systemd. Le tout est déployé par un paquet backup.

Pour que tout ceci fonctionne il faut créer la clé SSH pour root et la placer de sorte que la machine pousse la sauvegarde sur backup.chapril.org.

Créer une clé SSH sans mot de passe :

ssh-keygen -t ed25519

Copiez le contenu de la clef publique /root/.ssh/id_ed25519.pub sur felicette.orbite.chapril.org dans /etc/ssh/authorized_keys/backup, en recopiant ou adaptant les paramètres de commande forcée :

command="borg serve --restrict-to-path /srv/backups/bling.cluster.chapril.org",no-pty,no-agent-forwarding,no-port-forwarding,no-X11-forwarding,no-user-rc ssh-ed25519 AAAAC3[...] root@bling.cluster.chapril.org

Veillez en particulier à adapter l'argument --restrict-to-path.

Initialisez ensuite la première connexion pour authentifier l'hôte.

ssh -p 2242 backup@backup.chapril.org true

The authenticity of host '[backup.chapril.org]:2242 ([88.191.250.11]:2242)' can't be established.
ECDSA key fingerprint is e0:f9:98:26:24:da:d0:bd:04:a1:bc:00:50:7f:51:e5.
Are you sure you want to continue connecting (yes/no)?

yes

Warning: Permanently added '[backup.chapril.org]:2242' (ECDSA) to the list of known hosts.

Testez alors votre connectivité SSH. Ceci devrait fonctionner bruyamment, le bruit étant le retour de borg serve :

ssh -p 2242 backup@backup.chapril.org true

Testez votre hostname. Celui-ci doit être sous la forme bling.cluster.chapril.org :

hostname

Installez alors le paquet :

apt install backup-chapril

Si vous avez le message suivant c'est que tout est OK.

  ############################################################ 
  #                       Dépot initialisé                   # 
  ############################################################ 

Sinon tant pis pour vous : pas de bras, pas de chocolat.

systemctl start borgmatic.service

En cas de besoin, il y a une page pour ça : Restauration d'une machine depuis un backup.