Sauvegarde d'un serveur pfsense avec BackupPC
Un des gros points forts de pfsense est de pouvoir être entièrement re-configuré via le fichier de configuration xml que l'on peut télécharger depuis l'interface web. Ce how-to a pour but d'expliquer comment automatiser cette sauvegarde à l'aide de BackupPC (déjà pour que ça soit automatique bien sûre, mais grâce au mode historique de BackupPC, on peut suivre facilement les modification de configurations).
Sur Pfsense
Il faut d'abord créer un groupe d'utilisateurs nommé par exemple backups, qui n'a accès qu'à la page de sauvegardes:
Puis il faut créer un utilisateur (par exemple backuppc) membre de ce groupe, avec un mot de passe solide. Dans cet exemple, on lui mettra comme mot de passe secret
Sur BackupPC
Sur le serveur BackupPC, on va créer un répertoire pour y mettre des scripts, et un répertoire pour y télécharger la configuration de pfsense:
mkdir -p /var/lib/BackupPC/{bin,pfsense} chown :backuppc /var/lib/BackupPC/pfsense chmod 770 /var/lib/BackupPC/pfsense
Puis on écrit le script qui sera utilisé en pre/post dump:
cat <<'EOF' > /var/lib/BackupPC/bin/pfsense.sh #!/bin/bash -e OUT='/var/lib/BackupPC/pfsense' TMP=$(mktemp -d) URL='https://pfsense.domain.tld' LOGIN='backuppc' PASS='p@ssw0rd' # Save cookie and CSRF for the login form CSRF1=$(/usr/bin/wget -qO- --keep-session-cookies --save-cookies $TMP/cookies.txt --no-check-certificate $URL/diag_backup.php \ | grep "name='__csrf_magic'" \ | /usr/bin/perl -pe 's/.*value="(sid:[\da-z]+,[\d,a-z]+).*/$1/') # Submit the login form with the previous values, and save a new CSRF token CSRF2=$(/usr/bin/wget -qO- --keep-session-cookies --load-cookies $TMP/cookies.txt --save-cookies $TMP/cookies.txt --no-check-certificate \ --post-data "login=Login&usernamefld=$LOGIN&passwordfld=$PASS&__csrf_magic=$CSRF1" $URL/diag_backup.php \ | grep "csrfMagicToken" \ | /usr/bin/perl -pe 's/.*var\scsrfMagicToken\s=\s"(sid:[\da-z]+,[\d,a-z]+).*/$1/') # Save only the config, and retrieve a 3rd CSRF token /usr/bin/wget -q --keep-session-cookies --load-cookies $TMP/cookies.txt --save-cookies $TMP/cookies.txt --no-check-certificate \ --post-data "download=Download%20configuration%20as%20XML&donotbackuprrd=yes&__csrf_magic=$CSRF2" $URL/diag_backup.php -O $OUT/config-pfsense.xml \ rm -f $TMP/*.txt rmdir $TMP EOF chown :backuppc /var/lib/BackupPC/bin/pfsense.sh chmod 750 /var/lib/BackupPC/bin/pfsense.sh
Et voilà, il ne reste plus qu'à ajouter un hôte à sauvegarder dans BackupPC, qui ressemblera à ça:
$Conf{ClientNameAlias} = 'localhost'; $Conf{DumpPreUserCmd} = '/var/lib/BackupPC/bin/pfsense.sh'; $Conf{PingCmd} = '$pingPath -c 1 -w 3 pfsense.domain.tld'; $Conf{UserCmdCheckStatus} = 1; $Conf{RsyncClientCmd} = '$rsyncPath $argList+'; $Conf{RsyncClientRestoreCmd} = '$rsyncPath $argList+'; $Conf{RsyncShareName} = [ '/var/lib/BackupPC/pfsense' ]; $Conf{XferMethod} = 'rsync'; $Conf{XferLogLevel} = 6;
#!/bin/bash -e OUT='/var/lib/BackupPC/pfsense' TMP=$(mktemp -d) URL='https://pfsense.domain.tld' LOGIN='backuppc' PASS='p@ssw0rd' # Submit the login form with the previous values, and save a new CSRF token /usr/bin/wget -q -O /dev/null --keep-session-cookies --save-cookies $TMP/cookies.txt --no-check-certificate \ --post-data "login=Login&usernamefld=$LOGIN&passwordfld=$PASS" $URL/diag_backup.php # Save only the config /usr/bin/wget -q --keep-session-cookies --load-cookies $TMP/cookies.txt --save-cookies $TMP/cookies.txt --no-check-certificate \ --post-data "download=Download%20Configuration&donotbackuprrd=yes" $URL/diag_backup.php -O $OUT/config-pfsense.xml \ rm -f $TMP/*.txt rmdir $TMP