Utiliser etckeeper, c'est garder un historique des modifications de /etc pour ne pas compter seulement sur sa mémoire : "Mince, le serveur a planté... C'est quoi déjà la modif que j'avais faite dans mon php.ini ?? Arf, je ne me rappelle plus...".
Avant je réalisais des sauvegardes incrémentales quotidiennes de /etc. Ça marche aussi, sauf en période de modification frénétique post install d'un nouveau super giga service tout neuf qui doit absolument fonctionner avant hier parce que... ben parce qu'on en a envie en fait !
Avec etckeeper, les modifications sont poussées sur un dépôt git, et avec un dépôt distant comme Gitea, cela permet non seulement de versionner votre configuration, mais aussi d'avoir une sauvegarde externe sécurisée en cas de crash du serveur.
Bon, pour le côté frénétique, il faudra quand même penser à faire des git push origin. Apt s'en chargera aussi.
Voici la marche à suivre pour installer etckeeper (easy) et pour le lier à gitea proprement.
¶ Installer etckeeper
apt install etckeeper git
À ce niveau, déjà, les modifications sont versionnées dans un dépôt git local (i.e. sur le disque direct dans /etc). C'est déjà pas mal, mais on peut faire mieux en les poussant sur un dépôt privé distant. Moi j'utilise gitea parce que c'est local, et comme il y a des données sensibles (/etc/shadow pour n'en nommer qu'un, mais il y en a d'autres), ben même si github est rempli de gens très sympas, je préfère tout garder chez moi.
¶ Préparation sur Gitea
Prérequis : Créer son propre serveur git (Gitea) (Sur un autre serveur, sinon ça sert à rien !!!)
-
Connectez-vous à votre instance Gitea.
-
Créez un nouveau dépôt (nommez-le par exemple serveur-etc ou le nom de votre machine).
-
Important : Laissez le dépôt vide (ne cochez pas "Initialiser le dépôt avec un README ou un .gitignore").
-
cocher la case "dépôt privé".
-
modifier la branche "main" en "master" (c'est la branche par défaut de etckeeper).
Copiez l'URL SSH du dépôt (ex: git@votre-gitea.com:pseudo/serveur-etc.git).
¶ Configuration de l'accès SSH
Puisque etckeeper s'exécute généralement avec les droits root, il faut créer une clef ssh pour root spécifique à etckeeper.
- Générez une clé pour root si elle n'existe pas :
ssh-keygen -t ecdsa -b 521 -a 128 -f ~/.ssh/id_ecdsa_etc_serveur -N ""
- Affichez la clé publique :
cat /root/.ssh/id_ecdsa_etc_serveur.pub
- Copiez cette clé et ajoutez-la dans les paramètres de votre dépôt comme "Deploy Key" avec accès en écriture sur le dépôt.
¶ Liaison d'etckeeper avec Gitea
Ajouter l'host de votre gitea dans /etc/hosts :
echo IP_gitea hostname_gitea >> /etc/hosts
Ajouter les paramètres de connexion ssh dans /root/.ssh/config :
#gitea
Host hostname_gitea
User git
IdentityFile ~/.ssh/id_ecdsa_etc_serveur
Allez dans le répertoire /etc et configurez le "remote" Git :
cd /etc
git remote add origin git@votre-gitea.com:pseudo/serveur-etc.git
¶ Premier Push manuel
Comme le dépôt distant est vide et que votre /etc local a déjà un historique créé par etckeeper, vous devez envoyer les données :
git push -u origin master
Validez la clef ssh lors de cette première connexion et vérifiez que tout se passe bien.
¶ Automatisation du Push
Par défaut, etckeeper valide les changements automatiquement (commit), mais il ne les envoie pas (push) sur le serveur distant. Pour automatiser cela à chaque modification de paquet ou commit manuel :
En mode brute :
sed -i 's/^PUSH_REMOTE=""/PUSH_REMOTE="origin"/' /etc/etckeeper/etckeeper.conf && systemctl restart etckeeper
Ou alors en mode étape par étape :
- Modifiez le fichier de configuration :
nano /etc/etckeeper/etckeeper.conf
- Cherchez la ligne
PUSH_REMOTE=""
- Modifiez-la pour ajouter votre "remote" (généralement origin) :
PUSH_REMOTE="origin"
- Sauvegardez, quittez puis recharger etckeeper :
systemctl restart etckeeper
Désormais, à chaque fois qu'une action apt déclenche un commit etckeeper, les modifications seront automatiquement envoyées vers votre Gitea. Et si je suis en train de tester des configurations, à moi de réaliser des add/commit/push intermédiaires pour assurer mes arrières.
¶ Petit conseil de sécurité
Comme votre dépôt Gitea contient des fichiers sensibles (comme /etc/shadow), assurez-vous que :
-
Le dépôt sur Gitea est bien Privé.
-
L'accès à votre instance Gitea est sécurisé (HTTPS, Double authentification), voire même inaccessible depuis le web (après tout, github est là pour ce que vous voulez rendre accessible).
¶ Créer un commit manuel après une modif importante
Par exemple :
etckeeper commit "Activation nvidia-drm modeset=1 pour support Wayland"
Ça fait le commit et le push automatiquement, et si ça plante par la suite, on identifie vite la modif.
¶ Récupérer une conf après une manip foireuse
-
etckeeper vcs logaffiche l'historique des changements dans/etc. Chaque opération apt génère automatiquement un commit avec la liste des paquets modifiés. -
etckeeper vcs ls-tree -r [COMMIT_ID] --name-onlyliste tous les fichiers présents dans/etcà un instant T. Très utile pour vérifier si un dossier (comme nginx) contenait bien tes fichiers avant une purge. -
etckeeper vcs show [COMMIT_ID]:nginx/nginx.confpermet de lire le contenu d'un fichier spécifique dans un ancien commit sans avoir à le restaurer physiquement. -
etckeeper vcs checkout [COMMIT_ID] -- nginxremet le dossier/etc/nginxexactement dans l'état du commit spécifié (fichiers, sous-dossiers et liens symboliques). -
etckeeper vcs checkout [COMMIT_ID] -- nginx/sites-available/mon-site.confrestaure un unique fichier. -
etckeeper vcs statuspour identifier et les supprimer manuellement les nouveaux fichiers de conf qui ont été ajoutés car git ne va pas les supprimer en revenant à une version antérieure. -
etckeeper commit "Message expliquant la restauration"pour remonter la restauration dans la base git. (Pffiou... heureusement que j'avais etckeeper, sinon mon apt purge m'aurait définitivement supprimé toutes mes conf nginx
)