FR EN
Docs dev GitHub Telecharger
11 · Administration

Gérer les hôtes distants et les clés SSH

Les fonctions distantes ne reposent pas uniquement sur Restic. Elles s'appuient aussi sur une couche SSH gérée dans l'interface : hôtes pour les sauvegardes via SSH, clés pour les restaurations distantes, les tests et le déploiement initial des accès.

Accès distant
Machines cibles

Page Hôtes

Les hôtes représentent les machines sur lesquelles certains backup jobs pourront s'exécuter via SSH. Chaque hôte enregistré en base regroupe un ensemble de champs structurés qui décrivent complètement la connexion.

  • Nom lisible : libellé affiché dans l'interface pour identifier la machine.
  • hostname : nom DNS ou adresse IP de la machine cible.
  • user : utilisateur SSH employé pour la connexion.
  • port : port SSH (par défaut 22).
  • ssh_key_id : référence vers une clé SSH déjà déclarée dans la page Clés SSH.
  • sudo_password_ref : référence SecretStore optionnelle contenant le mot de passe sudo, pour les opérations nécessitant une élévation ciblée.
  • sudo_password_file : champ historique de compatibilité, lu seulement comme fallback legacy et migré vers SecretStore quand c'est possible.
  • Description libre, test de connexion et assistant de setup guidé.

La vérification de connexion (check) utilise la commande ssh native du serveur et capture le résultat (code de retour, stdout, stderr) pour afficher un diagnostic lisible dans l'interface.

Matériel de connexion

Page Clés SSH

La gestion des clés permet de générer, importer, tester et déployer les accès nécessaires à certains flux distants.

  • Génération d'une clé privée/publique avec nom, user, host et port.
  • Import d'une clé existante.
  • Affichage de la clé publique et bouton de copie.
  • Commande prête à coller pour l'ajout dans authorized_keys.
  • Test de connexion.
  • Déploiement assisté de la clé sur une machine distante avec mot de passe ponctuel.

Les clés privées générées ou importées sont stockées dans SecretStore. Le champ historique private_key_file conserve une référence, souvent de la forme secret://..., et peut encore pointer vers un ancien fichier local sur des installations migrées. Quand le client SSH natif a besoin d'un chemin fichier, Fulgurite matérialise au runtime un fichier temporaire strictement protégé, puis le supprime après usage ; ce fichier temporaire n'est pas le stockage principal de la clé.

Qui sert à quoi ?

Différence entre hôte et clé SSH

BriqueUsage principalExemples
HôteReprésenter une machine d'exécution distante pour un backup job.Sauvegarder /var/www sur un serveur applicatif via SSH.
Clé SSHServir aux restaurations distantes, aux tests et au déploiement des accès.Envoyer une restauration vers une autre machine via rsync/SSH.
Privilèges

Sudo et chemins protégés

Le mot de passe sudo optionnel sur un hôte n'est pas systématique, mais il devient utile si les chemins à sauvegarder ne sont pas lisibles par l'utilisateur SSH standard. Il permet à Fulgurite de tenter des exécutions nécessitant une élévation ciblée. Le mot de passe n'est jamais stocké directement en base : le mécanisme courant écrit une référence sudo_password_ref vers SecretStore. Le champ sudo_password_file reste uniquement un fallback legacy pour les anciennes installations et peut être migré automatiquement vers SecretStore.

Comme pour toute automatisation privilégiée, limitez ces configurations aux cas nécessaires, isolez les hôtes par périmètre et combinez-les avec des scopes utilisateurs stricts.
Fulgurite · Documentation publique · fulgurite.sh