Bonjour,
J’essaie de mettre en place une sauvegarde avec borg.
En local, j’ai mis en place en utilisant systemd pour le .service et le .timer
Tout fonctionne pour cette partie.
J’en profite pour sauvegarder les données d’un serveur distant.
pour ça j’ai besoin de le monter avec sshfs.
j’ai vu qu’il y avait la possibilité de faire ça avec .mount
par contre, j’ai pas la nécessité de monter ça en permanence.
est-ce que l’utilisation d’automount est une solution pertinente ?
Bonjour,
Le principal problème c’est la sécurité avec automount.
Autofs comme tous les filesystem est surtout conçu pour les performances, pas forcement pour la sécurité, surtout si tu dois sortir du réseau local.
Mieux vaut utiliser des montages explicites, ou bien, dans le cas d’un lien entre des réseaux différents (interne / externe) utiliser des outils comme scp.
le critère de base, c’est surtout, dois passer de mon LAN à travers ou vers le WAN.
Personnellement je n’utilise aucun autofs qui est désactivé sur toutes mes machines.
tu peux expliciter ?
C’est une question de conception; en privilégiant la performance la sécurité a été mise de coté.
Il faut faire très attention aux paramètre de montage mais aussi de partage.
Par exemple, NFs n’est pas conseillé à distance, car c’est un protocole dont la sécurité n’est pas au top; encore pire avec samba ou CIFS. de fait autofs va s’appuyer sur ces protocole, sans pour autant être complètement capable de gérer toutes les options qui pourraient exister pour sécuriser; si elles existent.
Si quelqu’un a accès au système il sera en mesure de monter un filesystem pour exporter ou importer des données, des scripts, etc… en exploitant des vulnérabilités. par exemple, en fournissant à autofs un filesystem malicieux ou utilisant un type possédant des vulnérabilités qu’il sera à même d’exploiter.
On peut s’en servir pour faire un deni de service par exemple.
Autofs a fait l’objet d’un très grand nombre de vulnérabilité, mais il ne peut gérer les vulnérabilités des fiilesystem utilisés, ce qui augmente encore la surface vulnérable du système.
J’ai trouvé ceci :
https://majiehong.com/post/2021-07-17_backup_strategy_with_borg/
https://blog.garamotte.net/posts/2022/02/15/fr-my-backups-organization.html
Faut que je test avec « RequiresMountsFor »
bonjour,
j’ai un soucis 
En me basant sur Backup Strategy with Borg - Pimpal
j’arrive pas à faire fonctionner le .mount
à priori, ça correspondrait à cet issue https://github.com/systemd/systemd/issues/13741
je suis sous buster.
est-ce que quelqu’un pourrait tester avec une version plus récente ?
Salut @yatta ,
sous buster tu as une version bugguée de systemd, sous buster j’utilisait celle de buster-backports pour etre tranquille.
Le mieux est de passer à Bullseye et tu n’auras plus le problème
?
c’est pas systemd qui semble poser pb mais /bin/mount
Le lien que tu as posté est relatif à systemd.
Systemd version 242 est buggué dans buster. mount a besoin de certaines fonctionnalités de systemd
Donc soit tu utilises une version de debian à la dernière version stable, soit tu utilises les backports pour avoir ton systemd snas le bug qui touche mount.