J’ai pensé au pire scénario : l’un de vos administrateurs se fait pirater - le pirate peut alors faire beaucoup de choses, mais aussi supprimer vos sauvegardes dans un emplacement externe depuis le tableau de bord des sauvegardes. Cela pourrait détruire complètement votre instance Discourse, laissant les administrateurs sans aucune sauvegarde (dans le cas où un administrateur utilise simplement la fonction de sauvegarde de Discourse et aucune autre règle de sauvegarde 3-2-1).
Serait-il judicieux d’empêcher tout utilisateur de supprimer des sauvegardes depuis l’interface ? Si nous voulons supprimer des sauvegardes, nous pouvons nous connecter à notre service externe (S3) et supprimer à partir de là.
En ayant cette fonctionnalité, nous n’aurons pas à utiliser des méthodes de sauvegarde alternatives et nous pourrons simplement nous en tenir à la fonctionnalité de sauvegarde intégrée en toute tranquillité.
De nombreuses personnes voient leurs sites tomber en panne parce que leur disque est plein et qu’elles ont vraiment besoin de pouvoir supprimer des sauvegardes pour libérer de l’espace disque.
Comment peuvent-ils accéder au site s’il est hors service ? Ils doivent toujours passer par un autre moyen (SSH) si leur site est hors service en raison d’un manque d’espace disque.
L’autre problème est que pour résoudre votre problème, Discourse ne devrait jamais supprimer de sauvegardes, car s’il pouvait les réduire, l’administrateur malveillant pourrait changer le nombre à conserver à 1, puis en créer une pour l’effacer.
Si vous souhaitez pouvoir supprimer les sauvegardes S3 uniquement depuis le panneau S3 (où vous n’aurez jamais d’administrateur malveillant ?), alors modifiez vos autorisations S3 afin que Discourse ne puisse pas les supprimer.
Cela pourrait être une alternative. Cependant, dans mon cas, j’utilise le stockage objet Vultr où ce n’est pas une option. Je vais peut-être explorer d’autres services, ou opter pour un transfert rclone vers GDrive comme solution de secours.