Skip to content

Forgejo Installation mit Restic nach Hetzner S3 sichern

Restic
2 1 334
  • Ich sichere schon jahrelang alle meine Daten mit Restic, gerne auch ins Internet oder neumodisch Cloud genannt. Besser ausgedrückt, auf die Rechner anderer Menschen.

    Warum ist das wichtig?

    Die könnten mitlesen, was da liegt. Also verschlüsseln wir das Ganze. Restic macht das mit einer AES256 Verschlüsselung. Im Netz sieht das dann auf einem Object Storage von Hetzner so aus.

    47bc51e4-29ae-4e56-82e7-e0cb30a5be12-image.png

    Ich nehme für jeden Sicherungspunkt ein neues Projekt bei Hetzner, der Grund ist, dass ich nicht in verschiedene Unterordner mit entsprechenden Schlüsseln speichern kann. Zu mindestens hatte ich das mal nicht hinbekommen. Ein Wochenende mit verplempert. OK, also 1 Projekt je Backup-Vorgang. Das könnte man im Falle des Forgejos Servers auch nur mit einem Projekt machen. Warum? Wenn die Schlüssel in die falschen Hände fallen, wären ja beide Schlüssel weg. Ok, dann hätten man aber sowieso ein anderes Problem.

    Aber, alle meine anderen Sicherungen, wären nicht gefährdet.

    Was muss man sichern? Die Grundlage ist mein Forgejo Podman Projekt.

    Ok, fangen wir mal langsam an 😉

    Hetzner S3

    Ihr legt dort bitte zwei Projekte an.

    6cca1074-ad23-4cab-83c6-9ee9d8a6cd46-image.png

    Innerhalb der Projekte legt ihr dann ein Bucket an. Für dieses Projekte legt ihr Zugangsdaten an und notiert die bitte. Die brauchen wir später noch.

    Forgejo Server

    Für die Forgejo Installation muss man zwei Ordner sichern. In meinem Fall

    • /home/forgejo
    • /home/pguser/db-data

    Was brauchen wir dafür?

    • AWS Credentials File
    • Restic Passwörter
    • Restic Backup Script

    Software

    Restic installieren

    apt install restic
    

    AWS Credentials

    Wir legen ein File an

    mkdir /root/.aws
    nano /root/.aws/credentials
    

    Inhalt

    [forgejo]
    aws_default_region="nbg1"
    aws_access_key_id="<ACCESS_KEY>"
    aws_secret_access_key="<SECRET_ACCESS_KEY"
    
    [postgres]
    aws_default_region="nbg1"
    aws_access_key_id="<ACCESS_KEY>"
    aws_secret_access_key="<SECRET_ACCESS_KEY>"
    

    Sollte selbsterklärend sein. Die Keys habt ihr eben aufgeschrieben. Solltet ihr nicht Nürnberg bei Hetzner gewählt haben, müsst ihr die Region entsprechend ändern.

    Restic Passwörter

    Zwei Passwörter anlegen, bitte ordentliche 😉 Hier seht ihr, wo ich die abgelegt habe.

    forgejo_pwd="/root/.forgejo_pwd"
    postgres_pwd="/root/.postgres_pwd"
    

    Restic Backup Script

    Das Script.

    #!/bin/bash
    # Script um mit Restic Daten automatisiert zu sichern!
    # Dient zum Sichern der Forgejo Installation -> Hetzner S3
    
    
    ## S3 Forgejo
    s3_domain="s3:nbg1.your-objectstorage.com"
    s3_folder="forgejo2"
    s3_bucket="forgejo2"
    
    
    ## S3 Postgres
    s3_domain_pg="s3:nbg1.your-objectstorage.com"
    s3_folder_pg="postgres2"
    s3_bucket_pg="postgres2"
    
    
    ## PWD
    forgejo_pwd="/root/.forgejo_pwd"
    postgres_pwd="/root/.postgres_pwd"
    
    
    # Was soll gesichert werden?
    backup_pfad_forgejo="/home/forgejo"
    backup_pfad_postgres="/home/pguser/db-data/dump.txt"
    
       
    # Forgejo Start
    export AWS_PROFILE=forgejo
    #restic -r $s3_domain/$s3_bucket/$s3_folder init > forgejo.log
    #restic --password-file $forgejo_pwd -r $s3_domain/$s3_bucket/$s3_folder ls latest > forgejo.log
    restic --password-file $forgejo_pwd  -r $s3_domain/$s3_bucket/$s3_folder backup $backup_pfad_forgejo > forgejo.log
    restic --password-file $forgejo_pwd -r $s3_domain/$s3_bucket/$s3_folder forget --keep-last 3 --keep-monthly 3 --prune >> forgejo2.log
    # Testen
    restic --password-file $forgejo_pwd -r $s3_domain/$s3_bucket/$s3_folder check --read-data >> forgejo3.log
    
    
    # Postgres Start
    export AWS_PROFILE=postgres
    podman exec -it postgres pg_dump -U postgres -f /var/lib/postgresql/data/dump.txt
    #restic -r $s3_domain_pg/$s3_bucket_pg/$s3_folder_pg init > postgres.log
    restic --password-file $postgres_pwd -r $s3_domain_pg/$s3_bucket_pg/$s3_folder_pg backup $backup_pfad_postgres > postgres.log
    restic --password-file $postgres_pwd -r $s3_domain_pg/$s3_bucket_pg/$s3_folder_pg forget --keep-last 3 --keep-monthly 3 --prune >> postgres2.log
    # Testen
    restic --password-file $postgres_pwd -r $s3_domain_pg/$s3_bucket_pg/$s3_folder_pg check --read-data >> postgres3.log
    

    Damit es funktioniert

    chmod +x   forgejo_backup.sh
    

    Sollte alles selbsterklärend sein.

    Erläuterungen

    Init

    Ein paar Erklärungen. Wenn ihr das Script das erste Mal nutzt kommentiert bitte alle Restic Zeilen aus, bis auf diese.

    restic -r $s3_domain/$s3_bucket/$s3_folder init > forgejo.log
    

    Hiermit wird das Restic Verzeichnis initialisiert, dazu müsst ihr das Restic Passwort eingeben, was ihr weiter oben angelegt habt. Danach braucht ihr diese Zeile nicht mehr. Wieder auskommentieren. Das bitte für Forgejo & Postgres machen.

    ls latest

    Wenn ihr mal testen wollt, ob was im Repo liegt, könnt ihr das mit dieser Zeile machen.

    restic --password-file $forgejo_pwd -r $s3_domain/$s3_bucket/$s3_folder ls latest > forgejo.log
    

    Backup

    Diese Zeile

    restic --password-file $forgejo_pwd  -r $s3_domain/$s3_bucket/$s3_folder backup $backup_pfad_forgejo > forgejo.log
    

    legt das Backup an.

    Forget

    Diese Zeile löscht alle Daten, die dem Filter nicht entsprechen.

    restic --password-file $forgejo_pwd -r $s3_domain/$s3_bucket/$s3_folder forget --keep-last 3 --keep-monthly 3 --prune >> forgejo2.log
    

    Es werden nur Daten behalten, nach einem eingestellten Wert. Sonst hätten man ja irgendwann ganz viele Daten, das möchte ich nicht.

    Testen

    Und diese Zeile testet das Repo

    restic --password-file $forgejo_pwd -r $s3_domain/$s3_bucket/$s3_folder check --read-data >> forgejo3.log
    

    Fertig. In den Logs könnt ihr nachlesen, was passiert ist. Besonders wichtig bei Fehlern.

    Normalerweise checke ich meine Backups noch zusätzlich mit CheckMK, ob diese auch durchgeführt wurden. Das ist aber ein anderes Thema.

    Crontab

    Und wenn alles funktioniert, legt ihr einen crontab an.

    crontab -e
    

    Inhalt

    # m h  dom mon dow   command
    03 09 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" --reloadcmd "systemctl restart nginx.service" > /dev/null
    0 3 * * * /root/forgejo_backup.sh
    

    Fertig!

    Viel Spaß

    Links

    Und danke an Restic, ich liebe diese Software 😉

  • Ich habe ja im obigen Beispiel, den gesamten Ordner von der Postgres Installation gesichert.

    backup_pfad_postgres="/home/pguser/db-data"
    

    Ich habe dann mal ein wenig in der Dokumentation gelesen und das hier gefunden.

    Einfach den Ordner zu sichern, ist ja bei jeder Datenbank ein gewisses Risiko. Die Konsistenz der Daten ist nicht gesichert. Darum gibt es bei den Datenbanken auch immer Tools, mit denen man die Daten sichern kann. In der Doku steht folgendes.

    pg_dump — extract a PostgreSQL database into a script file or other archive file

    Aber wichtiger ist das hier.

    pg_dump is a utility for backing up a PostgreSQL database. It makes consistent backups even if the database is being used concurrently. pg_dump does not block other users accessing the database (readers or writers).

    Das macht also konsistente Backups. Wichtig noch zu wissen ist folgendes.

    pg_dump only dumps a single database. To back up an entire cluster, or to back up global objects that are common to all databases in a cluster (such as roles and tablespaces), use pg_dumpall.

    Ok, das scheint gut geeignet zu sein, um die Datenbank zu sichern. Aber, wie? Auf meinen Eingangsbeitrag kam es zu folgendem Dialog auf Mastodon.

    Das war der Anstoß sich mit dem Thema zu beschäftigen. Und ich hatte dann folgende Lösung.

    podman exec -it postgres pg_dump -U postgres -f /var/lib/postgresql/data/dump.txt
    

    Ok, was mache ich hier? Wir führen einen Befehl vom Host aus gesehen, im Container aus.

    podman exec -it postgres
    

    Der Teil führt den folgenden Befehl im Container aus.

    pg_dump -U postgres -f /var/lib/postgresql/data/dump.txt
    
    • pg_dump - Das Tool fürs Backup
    • -U postgres - Der Befehl wird als User postgres ausgeführt
    • -f /var/lib/postgresql/data/dump.txt - Das Dump File wird im Data Ordner abgelegt, den haben wir ja persistent auf dem Host.

    Somit kann ich das jetzt einfach in mein Backup Script einbauen und brauchen nicht mehr den ganzen Ordner zu kopieren, sondern nur noch das Dump File. Ich werde diese Änderungen in das obige Script einbauen.

  • 0 Stimmen
    3 Beiträge
    76 Aufrufe
    frankm@nrw.socialF
    @tux "Im November 2023 kaufte die Kiteworks Europe AG ownCloud – eine Tochter des milliardenschweren amerikanischen Security-Anbieters Kiteworks LLC. "Quelle: https://www.heise.de/news/Ex-ownCloud-Devs-suchen-Neustart-bei-OpenCloud-Owncloud-Besitzer-will-klagen-10253188.htmlFür mich Grund genug, die Finger davon zu lassen.
  • Update 1.34.1

    Vaultwarden vaultwarden linux
    1
    0 Stimmen
    1 Beiträge
    86 Aufrufe
    Niemand hat geantwortet
  • NodeBB - v3.9.0

    NodeBB nodebb linux
    1
    0 Stimmen
    1 Beiträge
    177 Aufrufe
    Niemand hat geantwortet
  • Rest-Server v0.13.0 released

    Restic rest-server restic linux
    2
    0 Stimmen
    2 Beiträge
    400 Aufrufe
    FrankMF
    Download Rest-Server und installieren Im Github Repository den aktuellen Release suchen. Hier am Beispiel der aktuellen Version 0.13.0 (27.07.2024) Datei herunterladen wget https://github.com/restic/rest-server/releases/download/v0.13.0/rest-server_0.13.0_linux_amd64.tar.gz Die Datei entpacken tar -xf rest-server_0.13.0_linux_amd64.tar.gz Ins Verzeichnis wechseln cd rest-server_0.13.0_linux_amd64 Wenn der Rest-Server läuft, dann muss man diesen erst mal stoppen. systemctl stop rest-server Danach kopiert man das File nach bin. Wer mag sichert vorher das alte File. cp rest-server /usr/local/bin Danach kann man den Rest-Server wieder starten. systemctl start rest-server Versionskontrolle root@rest-server:~# rest-server -v rest-server version rest-server 0.13.0 compiled with go1.22.5 on linux/amd64 Die Hilfe vom Rest-Server root@rest-server:~# rest-server -h Run a REST server for use with restic Usage: rest-server [flags] Flags: --append-only enable append only mode --cpu-profile string write CPU profile to file --debug output debug messages -h, --help help for rest-server --htpasswd-file string location of .htpasswd file (default: "<data directory>/.htpasswd)" --listen string listen address (default ":8000") --log filename write HTTP requests in the combined log format to the specified filename (use "-" for logging to stdout) --max-size int the maximum size of the repository in bytes --no-auth disable .htpasswd authentication --no-verify-upload do not verify the integrity of uploaded data. DO NOT enable unless the rest-server runs on a very low-power device --path string data directory (default "/tmp/restic") --private-repos users can only access their private repo --prometheus enable Prometheus metrics --prometheus-no-auth disable auth for Prometheus /metrics endpoint --tls turn on TLS support --tls-cert string TLS certificate path --tls-key string TLS key path -v, --version version for rest-server Systemd Wer noch ein passendes systemd File benötigt. [Unit] Description=Rest Server After=syslog.target After=network.target [Service] Type=simple User=rest-server Group=rest-server ExecStart=/usr/local/bin/rest-server --private-repos --tls --tls-cert /mnt/rest-server/<DOMAIN>/fullchain.pem --tls-key /mnt/rest-server/<DOMAIN>/key.pem --path /mnt/rest-server Restart=always RestartSec=5 # Optional security enhancements NoNewPrivileges=yes PrivateTmp=yes ProtectSystem=strict ProtectHome=yes ReadWritePaths=/mnt/rest-server [Install] WantedBy=multi-user.target
  • PHP Webseite lokal einhängen mit sshfs

    PHP php linux
    1
    2
    0 Stimmen
    1 Beiträge
    94 Aufrufe
    Niemand hat geantwortet
  • Passkeys

    Linux linux passkeys
    2
    0 Stimmen
    2 Beiträge
    313 Aufrufe
    FrankMF
    Passend dazu aus dem Bitwarden Blog https://bitwarden.com/blog/bitwarden-passkey-management/
  • NanoPI R2S - Snapshot aktualisieren

    NanoPi R2S nanopir2s openwrt linux
    3
    0 Stimmen
    3 Beiträge
    448 Aufrufe
    FrankMF
    @thrakath1980 Das kann ich Dir leider nicht beantworten. Denke aber, das es sinnvoll ist neu anzufangen. Welche Settings meinst Du? Ich würde mal /etc/config sichern. Da sollte das Meiste ja drin sein. Notifications? Hmm, ich hoffe das das funktioniert. Ich schau zur Sicherheit mal nach.
  • Vorstellung von Joplin

    Linux linux
    3
    5
    0 Stimmen
    3 Beiträge
    1k Aufrufe
    FrankMF
    Heute das Ganze nochmal ausprobiert. Unter "Werkzeuge/Allgemeine Einstellungen" [image: 1539095579635-2541359f-78f0-4b14-b540-beddb80e7f45-grafik-resized.png] Danach auf "Synchronisieren" klicken. Nach kurzer Zeit fragt er nach dem fehlenden Passwort. Passwort eingeben und kurze Zeit später waren alle Daten wieder da. Diesmal ging das ruckzuck. Joplin 1.0.111 (prod, linux)