Archive for Fiches techniques

tmutil : la commande cachée pour Time Machine

Certes, j’ai beaucoup râlé sur ce que Lion n’apportait pas, ou apportait en trop, ou ce qu’il faisait à mon goût mal. Mais il recèle aussi quelques pépites fort utiles, par exemple une nouvelle commande de Terminal appelée tmutil.

Cette commande sert à manipuler Time Machine, de façon très complète, voire plus complète qu’avec l’interface graphique.

La façon la plus simple de l’utiliser, c’est encore de taper juste tmutil :

Minimoi:~ admini$ tmutil
Usage: tmutil help <verb>
Usage: tmutil version
Usage: tmutil enable
Usage: tmutil disable
Usage: tmutil startbackup [-b|--block]
Usage: tmutil stopbackup
Usage: tmutil enablelocal
Usage: tmutil disablelocal
Usage: tmutil snapshot
Usage: tmutil delete snapshot_path ...
Usage: tmutil restore [-v] src dst
Usage: tmutil compare [-a@esmugtdrvEX] [-D depth] [-I name]       tmutil compare [-a@esmugtdrvEX] [-D depth] [-I name] snapshot_path       tmutil compare [-a@esmugtdrvEX] [-D depth] [-I name] path1 path2
Usage: tmutil setdestination mount_point       tmutil setdestination [-p] afp://user[:pass]@host/share
Usage: tmutil addexclusion [-p] item ...
Usage: tmutil removeexclusion [-p] item ...
Usage: tmutil isexcluded item ...
Usage: tmutil inheritbackup machine_directory       tmutil inheritbackup sparse_bundle
Usage: tmutil associatedisk [-a] mount_point volume_backup_directory
Usage: tmutil latestbackup
Usage: tmutil listbackups
Usage: tmutil machinedirectory
Usage: tmutil calculatedrift machine_directory
Usage: tmutil uniquesize path ...
Use `tmutil help <verb>` for more information about a specific verb.Minimoi:~ admini$

Bon… Pas forcément très parlant tout ça. Déjà, on voit quand même qu’on dispose d’options pour activer (enable) ou désactiver (disable) Time Machine. Évidemment, il faudra lancer la commande en root, donc la précéder de sudo puis taper son mot de passe administrateur.

Minimoi:~ admini$ sudo tmutil enable

Maintenant, vous pouvez choisir une destination de sauvegarde :

Minimoi:~ admini$ sudo tmutil setdestination /Volumes/Untitled

On peut aussi lancer une sauvegarde :

Minimoi:~ admini$ sudo tmutil startbackup
Total copied: 247.19 MB (259201817 bytes)
Avg speed:    617.66 MB/min (10794449 bytes/sec)

L’option –block (ou -b) lance la sauvegarde en premier plan. En clair : tant qu’elle n’est pas terminée, vous ne pouvez pas aller plus loin. Moui… Mais on doit pouvoir faire mieux que ça non ?

Minimoi:~ admini$ sudo tmutil enablelocal

Voilà qui est bien plus intéressant ! L’option enablelocal active une des nouvelles fonctions de Time Machine dans Lion : les sauvegardes locales. Lorsque votre Mac est déconnecté de son disque de sauvegarde, il peut continuer à faire des sauvegardes transparentes sur votre disque interne. Si cette fonction vous agace, vous pouvez la désactiver en tapant tmutil disablelocal. Mais vous pouvez aussi l’activer sur un Mac de bureau pour avoir des sauvegardes locales au cas où… Celles-ci seront ensuite automatiquement rapatriées vers votre disque Time Machine.

 

On peut aussi supprimer une sauvegarde Time Machine, ce que ne permet pas le Finder, même avec le compte root !

 

Minimoi:~ admini$ sudo tmutil delete /Chemin/Vers/Le_Dossier_TimeMachine_A_Effacer

Au passage, une astuce : tapez juste sudo tmutil delete, retournez dans le Finder, affichez le dossier Backup.backupdb dans le Finder, sélectionner une sauvegarde dans son dossier, puis glissez-la dans la fenêtre de Terminal pour récupérer son chemin.

Vous avez un dossier ou un fichier à restaurer ? Pas de problème, l’option restore est là pour vous (et vous pouvez l’utiliser sans sudo) :

 

Minimoi:~ admini$ tmutil restore /Chemin/Vers/Le/Dossier/A/Restaurer Dossier_Cible

Et si vous voulez savoir quel fichier est copié en live, ajoutez -v après restore.

Oh, mais on peut aussi faire un instantané du disque sous forme de « snapshot » ! Histoire de le restaurer rapidement en cas de problème :

Minimoi:~ admini$ sudo tmutil snapshot

Bon, ça, j’ai l’impression que ça marche moyen. À tester plus tard…

 

Vous voulez exclure un dossier de la sauvegarde ? Tapez donc :

Minimoi:~ admini$ tmutil addexclusion /Chemin/Vers/Le_Dossier_A_Exclure
Il est intéressant ici de savoir qu’en plus du comportement par défaut de Time Machine en mode graphique, qui est d’associer l’exclusion à un dossier ou un fichier *où qu’il se trouve sur le disque* (en clair : si on le déplace ou qu’on le copie ailleurs, il continuera de ne pas être sauvegardé), on peut choisir en ligne de commande une autre option : en ajoutant -p après addexclusion, on peut définir un chemin de façon absolue et définitive. Ainsi, si vous déplacez le dossier ou fichier dans le chemin défini, il sera à nouveau disponible pour la sauvegarde.

Il y a bien  d’autres options éventuellement à voir, mais ça sera… pour un autre article :)

Sauvegarder dans le Cloud : bonne ou mauvaise idée ?

Cela fait quelques temps que je me posais des questions sur la pertinence des solutions de sauvegarde en ligne. Un article de MacGeneration publié il y a quelques semaines sur l’arrivée de Dolly Drive sur le marché des solutions de sauvegarde en ligne me donne enfin l’occasion de rebondir sur le sujet et d’approfondir un peu cette fameuse question.

Car s’il est un marché qui explose en ce moment, c’est bien celui du stockage en ligne, avec Amazon S3, qui propose du stockage pas cher, mais également d’autres solutions comme Mozy, Yellow Backup, Crashplan et donc, depuis quelques jours, Dolly Drive. Mais tous les systèmes de sauvegarde ne se valent pas, et il faut réfléchir à plusieurs problématiques lorsqu’on décide de placer ses données dans le Cloud. 1

Pourquoi sauvegarder en ligne ?

La sauvegarde en ligne permet de répondre à cette fameuse problématique de l’externalisation des sauvegardes. Car malheureusement, il arrive que des drames arrivent parfois. Et dans ce cas, ça peut être le travail de toute une vie qui disparaît, une entreprise qui se retrouve complètement bloquée ou qui est obligée de mettre la clé sous la porte… Vous devez donc vous assurer de disposer d’une sauvegarde de vos données les plus importantes à l’extérieur de votre entreprise ou de votre domicile.

Durant des années, la solution classique a été la bonne vieille disquette, puis le lecteur de cartouches. Syquest, Bernouilli, Jaz, AIT, DLT… Le grand leader de la cartouche est désormais le LTO, ouvert, très bien conçu, mais dont le coût peut sembler quelque peu démesuré par rapport aux besoins des petites entreprises (mais par contre très bien adaptées aux besoins de sauvegardes pour les SAN par exemple). On trouve aussi des lecteurs de cartouches renfermant un disque dur 2,5″ comme le RDX de Tandberg ou le GoVault de Quantum. Intérêt : le disque peut être utilisé sans logiciel de sauvegarde spécial, il est juste vu comme un disque externe…

Malheureusement, les solutions à base de cartouches à bande nécessitent un logiciel de sauvegarde apte à les gérer. Et là, on ne peut pas dire que les solutions sur Mac soient nombreuses. Entre un Retrospect qui n’arrête pas d’être racheté puis revendu et dont le passage à Mac OS X s’est fait dans la douleur, BRU dont l’interface graphique a longtemps été loin d’être au point malgré des outils en ligne de commande efficaces, ou des solutions très haut de gamme comme NetVault ou Time Navigator… Il reste Prestore, avec lequel j’ai un peu de mal, mais ça vient peut-être de moi. Cela dit tous ceux qui l’utilisent en sont très content.

Le souci des cartouches, c’est donc qu’il faut penser à les changer. Donc, arriver sur site avec la cartouche de la semaine, la mettre dans le lecteur, garder au moins deux cartouches hors site, etc. Avec le risque de se faire piquer la cartouche (même si on peut toujours chiffrer le contenu de la sauvegarde), de ne pas penser à la prendre le dimanche soir pour la remettre dans le lecteur le lundi, etc.

La démocratisation des lignes à haut débit permet désormais de se faciliter la vie en proposant une sauvegarde site à site facile, ou une sauvegarde dans le Cloud. Et là, tout devient plus simple : plus de cartouche à gérer, la sauvegarde se faisant de façon transparente, de façon très simple.

Oui, mais comme souvent, avec tout ce qui touche à la technologie… Il y a un « mais ».

La question de la confidentialité

C’est bien évidemment ce qui fait le plus peur quand on confie ses données à une autre entreprise. On n’a pas forcément envie de mettre entre les mains d’un tierce ses données confidentielles. Sur ce point, tout est question de point de vue :

  • Vous pouvez penser que le risque que le bâtiment hébergeant vos données brule est plus important que le risque que certaines données soient consultées par les barbouses de la DGSE. Dans ce cas, la solution de sauvegarde dans le Cloud est faite pour vous.
  • Vous pensez au contraire qu’une fois vos données dans le Cloud, n’importe qui peut y avoir accès (syndrome de Stallman) alors qu’il y a peu de chance que le Ciel vous tombe sur la tête. Dans ce cas, laissez vos données sur votre disque, et n’oubliez pas vos bonnes vieilles cartouches.

Crashplan propose cependant une alternative très intéressante : vous téléchargez le logiciel Crashplan, et vous pouvez sauvegarder (à titre d’utilisation personnelle) sur un disque externe, un autre ordinateur de votre réseau, ou… sur l’ordinateur d’un ami, par le biais d’un code à s’échanger. Et là, on a une solution finalement très intéressante, puisqu’on diminue énormément le risque de voir les données disparaître dans la nature. Vous « offrez » un disque à votre ami, qui le branche sur son ordinateur, et hop, vos données sont régulièrement sauvegardées chez votre ami. Et même si on vole le disque de sauvegarde, les données sont chiffrées, et donc illisibles sans votre mot de passe… qui lui, reste uniquement sur votre ordinateur !2

Quand on sauvegarde dans le Cloud, un autre point important doit être pris en compte : la durée de sauvegarde, qui via Time Machine est variable selon plein de critères. Hors, l’un des principaux points faibles de Time Machine réside dans son manque de granularité : si un fichier est modifié d’un seul bit, il est entièrement sauvegardé à nouveau… Très (trop) lourd. Un logiciel de sauvegarde dans le Cloud ou en externalisation se doit de sauvegarder uniquement les données modifiées de vos fichiers et pas le fichier en intégralité, sinon le temps et le coût de la sauvegarde explosent.

Quid de Dolly Drive ?

Le problème de Dolly Drive est double.

  • D’abord, il s’appuie sur le moteur de Time Machine pour sauvegarder sur le Net. Or, Time Machine n’a pas été conçu à la base pour sauvegarder de façon archi-sécurisée vos données sur Internet, mais pour sauvegarder régulièrement vos données en local. Cela implique de gros défauts, en particulier, la redondance des copies due à un manque d’intelligence flagrant de Time Machine. Prenons par exemple le cas suivant : dans un moment de délire, vous décidez de déplacer un dossier contenant beaucoup de fichiers sur votre disque dur. Que va-t-il donc se passer ? Et oui, Time Machine recopie à nouveau TOUTES les données du nouveau dossier. C’est ballot, mais c’est comme ça. Un logiciel plus moderne comme Crashplan fait de la déduplication de données, si bien que si un fichier est en double dans la sauvegarde, il ne sera réellement sauvegardé qu’une seule fois et ne sera pas recopié à nouveau. Donc, gain de temps sur la sauvegarde, moins d’espace-disque utilisé car pas de doublon, etc.
  • L’autre problème de Time Machine : les performances en réseau. Le protocole AFP qu’utilise Time Machine pour les sauvegardes en réseau est certes très rapide sur un réseau local, mais particulièrement lent et inadapté à une sauvegarde sur Internet. De plus, aucune somme de contrôle n’est effectuée sur les fichiers, ne garantissant donc à aucun moment que le fichier est bien arrivé à destination. Ce qui peut être très gênant dans le cas d’une sauvegarde distante : entre votre Mac et votre serveur, les pertes de paquet ou déconnexions sont très rares, mais entre votre poste et un serveur à l’étranger, tout peut arriver.

En clair, donc : Dolly Drive est une solution au concept intéressant, mais se basant sur un moteur qui n’est pas taillé pour. C’est un peu comme vouloir utiliser une Formule 1 pour faire du 4×4 en montagne…

Alors, que faire ?

Déjà, ça me semble évident : oublier Dolly Drive. Une idée intéressante, mais qui ne peut s’appuyer sur un moteur peu adapté à cet usage.

Ensuite, et c’est une évidence, multiplier les sauvegardes. À ce titre, rappelons quelques points essentiels :

  • Faire une synchro, ce n’est pas sauvegarder. Si un fichier est endommagé sur le disque d’origine, il sera alors dupliqué à l’identique sur le disque de sauvegarde. Et donc, impossible à restaurer.
  • Le RAID n’est pas une sauvegarde, juste un moyen d’éviter une indisponibilité des données3. Le RAID consiste peu ou prou à avoir des données redondantes sur plusieurs disques afin qu’en cas de panne de l’un d’entre eux, le système continue de fonctionner correctement. Mais si une donnée est endommagée sur un disque d’un volume RAID, elle est également endommagée sur tous les disques de l’ensemble. Aucune chance donc de retrouver le fichier.
  • Il vaut mieux avoir trop de sauvegardes que pas assez.
  • Testez vos sauvegardes. Rien de plus idiot que de retrouver des données dans ses sauvegardes mais qu’elles soient inexploitables. De temps en temps, restaurez un ou plusieurs fichiers pour vous assure qu’ils sont correctement lisibles. Et pour vos vieux fichiers, gardez les CD/DVD (disquettes ???) d’installation de vos anciens logiciels.

Et si vous trouvez que je parle trop de Crashplan dans cet article, c’est qu’il est vraiment, vraiment bien conçu, et répond à de très nombreuses problématiques posées par la sauvegarde. Quand on sait en plus que le soft dans sa version standard est gratuit pour une utilisation familiale (et vraiment peu cher pour la partie entreprise)… Pourquoi hésiter ?

  1. Le Cloud, ce n’est pas un système de retouche photo en ligne pour faire une photo pourrie à partir de plusieurs photos pourries, comme voudrait vous le faire croire Microsoft dans ses pubs…
  2. Et si vous trouvez ces solutions peu fiables, dites-vous que quand vous transférez par exemple vos données par FTP, vous n’avez AUCUNE sécurité, puisque même les mots de passe circulent en clair ! Idem quand vous envoyez un mail : le pourcentage de la population qui doit être capable d’envoyer un mail chiffré ne doit pas dépasser les 0,1%, et encore, je suis généreux.
  3. Dans le cadre de disques en RAID1 ou supérieur, le RAID 0 n’assurant que des performances plus rapides au détriment de la sécurité des données

Sous les (pa)VPN, la plage (IP)

C’est l’été, période propice aux tests… Alors voici un petit article technique, ça faisait longtemps hein ?

Depuis quelques années, les technologies VPN ont permis de faciliter l’accès à distance aux réseaux des entreprises. Petit rappel rapide de la technologie : en se connectant à l’aide d’un client VPN, un ordinateur situé à l’extérieur du réseau d’une entreprise établit un tunnel sécurisé vers un serveur VPN et ainsi se connecter au réseau de l’entreprise comme s’il s’agissait d’une connexion locale.

Dans l’absolu, cette technologie est géniale. Pour quelqu’un d’assez mobile comme moi, elle permet de me connecter aux ordinateurs des réseaux de mes clients pour corriger rapidement un dysfonctionnement ou mettre en place un service. Dans la pratique, elle est la plupart du temps aussi efficace qu’annoncée en théorie.

Il y a cependant un point parfois gênant. Quand vous configurez un routeur, il est par défaut configuré sur la plage 192.168.0.1/24 ou 192.168.1.1/24. Et on la laisse par défaut sur cette plage, sans se poser de questions. Et on monte donc son réseau sur cette plage, en se disant que ça va bien youpi. Et à mon goût, c’est une erreur.

En effet, lorsqu’un client VPN se connecte sur votre réseau, il va se voir attribué une adresse IP privée de votre plage distante. Mais que se passe-t-il si ce client est déjà connecté côté LAN sur un réseau utilisant la même plage que la plage distante ?

Voyez-vous où se trouve le problème ?

Cas concret : ma machine est sur un réseau en 192.168.1.1/24. Elle a l’adresse IP 192.168.1.2. Maintenant, je me connecte sur un réseau VPN dont la plage privée est également 192.168.1.1/24. Que se passe-t-il si, lors de la connexion distante, vous devez vous connecter vers un serveur en 192.168.1.100 ? Est-ce que votre client va devoir chercher cette adresse sur son réseau LAN, ou sur le réseau VPN ?

C’est là qu’il faut être futé. Car si on ne fait pas attention, boum, on se retrouve avec une connexion qui se fait, mais des postes distants inaccessibles. La meilleure solution est d’utiliser une plage réseau inutilisée d’habitude. Vous avez là l’embarras du choix, moi par exemple j’utilise une plage en 10.0.254.0/24 (et je vous interdis d’utiliser la même, non mais). Le tout est d’avoir une plage qui risque peu d’être utilisée en dehors de votre entreprise, 192.168.192.0, 10.0.77.0, 172.16.25.0… Vous choisissez. Mais PAS les plages par défaut !!!

Avec Mac OS X Server comme serveur VPN, il y a quelques astuces qui permettent cependant de limiter la casse sans changer tout le réseau. La première est d’ajouter dans les réglages du service VPN (avec Server Admin) la définition de votre réseau local. Ça permet au poste distant de mieux retrouver ses petits.

Ma plage est en 10.0.254.0, je l'ai donc définie comme plage privée dans mon VPN.

Une autre idée : dans les réglages du VPN côté client, vous pouvez forcer à envoyer tout le trafic réseau sur la connexion VPN distante. Attention : cela signifie que vos périphériques locaux ne fonctionneront plus…

En envoyant tout le trafic sur la connexion distante, vous augmentez les chances d'accéder à vos périphériques distants.

Voilà, vous savez tout. Mais vraiment, vraiment, si vous souhaitez limiter la casse, je vous invite à changer votre plage réseau si ce n’est pas déjà fait. Certes, cela demande une certaine planification pour les parcs importants, mais cela vous simplifiera certainement la vie dans le futur…

Cinquante astuces en stock… Option : le livre bonus !

Il y a quelques années de ça (huit ans si mes souvenirs sont bons), j’avais balancé sur le ton de la rigolade à Alexandre Lenoir (depuis devenu rédac’chef du célèbre et superbe magazine iCreate) : « ah mais tu sais que je pourrais t’écrire un article rien que sur la touche Option ! » Manque de bol (ou coup de chance), lui l’a pris sérieusement, ce qui m’a permis de poser pour la première fois mon nom dans un magazine informatique, plus précisément dans un numéro hors série d’Univers Mac, désormais devenu collector.

Presque dix ans plus tard, j’ai décidé de remettre le couvert, mais tout seul… et c’est mon petit cadeau de début d’année (ou de Noël en retard, comme vous le préférez) : un petit livre bonus qui porte uniquement sur la touche magique du Mac, à savoir… la touche Option ! Dans ce dossier, vous trouverez très exactement cinquante astuces exploitant cette touche, de la plus futile à la plus incroyablement utile. Et je parie que vous ne connaîtrez sûrement pas les cinquante… :-)

Cliquez ici pour télécharger ce document PDF de 6,2 Mo, et n’hésitez pas à laisser vos commentaires sous ce billet ou par e-mail.

Bonne lecture, et bonne découverte des pouvoirs de la touche Option !

Fiche pratique : comment configurer le DNS de Mac OS X Server

Vous vous souvenez à quel point je suis pénible à rappeler tous les trois articles que le service DNS est indispensable à la bonne configuration de Mac OS X Server ?

Et bien, aujourd’hui, je vous livre un document inédit, une fiche technique expliquant pas à pas comment configurer le service DNS de Mac OS X Server pour que votre serveur soit joyeux, et comment faire en sorte que vos clients utilisent correctement ce serveur. De quoi préparer votre serveur à devenir maitre Open Directory ! Je vous en reparlerai d’ailleurs très, très prochainement…

Pour le moment, régalez-vous, le document est en français, et pour Mac OS X Server 10.5, na. Le PDF de 1,7 Mo se télécharge en cliquant ici..

Pour vos questions, commentaires et autres problèmes, postez dans les commentaires, j’y répondrai dès que je peux.

Ah, et au passage, j’inaugure une rubrique Fiches techniques, dans lesquelles vous trouverez… des fiches techniques. Dingue.