Hedgii
Outil CLI de sauvegarde automatisée et chiffrée pour serveurs Linux — vos données partent dans le cloud sans que personne d'autre ne puisse les lire.
Hedgii
<!-- cover fournie par Damien plus tard ; laisse ce placeholder tel quel -->
Hedgii automatise vos sauvegardes serveur, les chiffre avant de les envoyer dans le cloud — et personne d'autre que vous ne peut les déchiffrer.
Le projet
Quand le seul administrateur système de Kalya est parti, Damien s'est retrouvé seul responsable de l'infrastructure : plusieurs serveurs, des bases de données avec des données clients sensibles, et pas d'outil de sauvegarde chiffré qui corresponde aux contraintes réelles de l'infra. Les solutions existantes étaient soit trop génériques, soit trop lourdes à configurer. Hedgii est né de ce besoin concret : un outil en ligne de commande, piloté par un seul fichier de configuration, qui collecte, chiffre et synchronise les sauvegardes vers OneDrive — sans qu'un prestataire cloud ne puisse jamais accéder aux données.
Ce que ça fait
- Collecte automatique de fichiers, dossiers et sorties de commandes personnalisées (dumps de bases de données, état système…)
- Chiffrement systématique AES-256 via GPG avant tout envoi — les données ne quittent jamais le serveur en clair
- Synchronisation multi-cloud : OneDrive natif ou 40+ providers via rclone
- Planification via cron, rapport de sauvegarde à chaque exécution, logs horodatés
- Restauration guidée avec
decrypt.sh, diagnostic d'installation avechedgii-doctor.sh - Installation en une commande sur Debian/Ubuntu, Fedora, Arch — cron quotidien configuré automatiquement
Le défi
L'export automatique vers OneDrive a été la partie la plus retorse. La première tentative avec rclone fonctionnait dans les cas simples, mais manquait de résilience pour garantir que chaque archive chiffrée atterrissait correctement. Damien a finalement écrit une couche d'abstraction (smart_upload_to_cloud) qui choisit automatiquement le meilleur client disponible selon la cible, avec détection d'erreur et tentatives de reprise.
Un autre point critique : le script de chiffrement devait renvoyer uniquement le chemin de l'archive sur stdout (les logs partent sur stderr) pour que le script principal puisse le capturer. Une séparation stdout/stderr rigoureuse qui, si elle casse, fait silencieusement disparaître des sauvegardes — le genre de bug qui ne se voit qu'en production.
Comment ça fonctionne
flowchart LR
A[Serveur Linux] --> B[Collecte sources\n& commandes]
B --> C[Compression\nzip / tar.gz]
C --> D[Chiffrement\nGPG AES-256]
D --> E[Upload cloud\nOneDrive / rclone]
E --> F[Nettoyage\nstaging]
En image

Du serveur au cloud : chaque archive est compressée puis chiffrée localement avant de partir. Microsoft — ou tout autre fournisseur cloud — ne voit que des données illisibles.
Stack
| Couche | Techno |
|---|---|
| Scripting | Bash (set -euo pipefail) |
| Chiffrement | GPG symétrique AES-256 |
| Sync cloud | rclone + client OneDrive abraunegg |
| Configuration | JSON + jq |
| Planification | cron |
| Licence | MIT — open source |