Add notification feature to backup scripts for various services

Enhance backup scripts for Nextcloud, Gitea, Paperless, Vaultwarden, Immich, and VPS configurations by adding Telegram notifications upon completion. Include details such as backup size and objects backed up. Update backup documentation to reflect these changes and ensure clarity on backup processes and retention policies.

scripts/restore-one-vzdump-from-restic.sh

@@ -2,6 +2,7 @@
 # Восстановление одного файла vzdump из restic (Yandex S3) через mount.
 # Не выкачивает весь репозиторий — подгружаются только нужные данные для выбранного файла.
 # Запускать на хосте Proxmox под root. Требуется FUSE (restic mount).
+# Секреты из Vaultwarden (объект RESTIC), файл /root/.bw-master (chmod 600).
 #
 # Использование:
 #   restore-one-vzdump-from-restic.sh [SNAPSHOT] [ПУТЬ_В_СНИМКЕ] [КУДА_СОХРАНИТЬ]
@@ -14,9 +15,7 @@
 # Список файлов в снимке: restic ls SNAPSHOT
 set -e
 
-ENV_FILE="${ENV_FILE:-/root/.restic-yandex.env}"
 MOUNT_DIR="${MOUNT_DIR:-/mnt/backup/restic-mount}"
-RESTIC_PASSWORD_FILE="${RESTIC_PASSWORD_FILE:-/root/.restic-password}"
 
 SNAPSHOT="${1:-latest}"
 # Путь к файлу внутри снимка (как в restic ls) — бэкапим /mnt/backup, пути вида /mnt/backup/proxmox/dump/dump/vzdump-lxc-107-...
@@ -28,22 +27,40 @@ if [ "$(id -u)" -ne 0 ]; then
   exit 1
 fi
 
-if [ ! -f "$ENV_FILE" ]; then
-  echo "Нет файла $ENV_FILE. Скопируйте restic-yandex-env.example и задайте ключи."
+# Секреты из Vaultwarden (объект RESTIC)
+BW_MASTER_PASSWORD_FILE="${BW_MASTER_PASSWORD_FILE:-/root/.bw-master}"
+if [ ! -f "$BW_MASTER_PASSWORD_FILE" ]; then
+  echo "Нет файла с мастер-паролем Vaultwarden: $BW_MASTER_PASSWORD_FILE (chmod 600). См. docs/backup/proxmox-phase1-backup.md"
   exit 1
 fi
-
-# shellcheck source=/dev/null
-source "$ENV_FILE"
+if ! command -v bw >/dev/null 2>&1 || ! command -v jq >/dev/null 2>&1; then
+  echo "Установите bw (Bitwarden CLI) и jq для получения секретов из Vaultwarden."
+  exit 1
+fi
+export BW_SESSION
+BW_SESSION=$(bw unlock --passwordfile "$BW_MASTER_PASSWORD_FILE" --raw 2>/dev/null) || { echo "Не удалось разблокировать Vaultwarden."; exit 1; }
+RESTIC_ITEM=$(bw get item "RESTIC" 2>/dev/null) || { echo "Не найден объект RESTIC в Vaultwarden."; exit 1; }
+export RESTIC_REPOSITORY
+RESTIC_REPOSITORY=$(echo "$RESTIC_ITEM" | jq -r '.fields[] | select(.name=="RESTIC_REPOSITORY") | .value')
+export AWS_ACCESS_KEY_ID
+AWS_ACCESS_KEY_ID=$(echo "$RESTIC_ITEM" | jq -r '.fields[] | select(.name=="AWS_ACCESS_KEY_ID") | .value')
+export AWS_SECRET_ACCESS_KEY
+AWS_SECRET_ACCESS_KEY=$(echo "$RESTIC_ITEM" | jq -r '.fields[] | select(.name=="AWS_SECRET_ACCESS_KEY") | .value')
+export AWS_DEFAULT_REGION
+AWS_DEFAULT_REGION=$(echo "$RESTIC_ITEM" | jq -r '.fields[] | select(.name=="AWS_DEFAULT_REGION") | .value')
+[ -z "$AWS_DEFAULT_REGION" ] && AWS_DEFAULT_REGION="ru-central1"
+RESTIC_PASS=$(echo "$RESTIC_ITEM" | jq -r '.fields[] | select(.name=="RESTIC_BACKUP_KEY") | .value')
 for var in RESTIC_REPOSITORY AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY; do
   if [ -z "${!var}" ]; then
-    echo "В $ENV_FILE не задано: $var"
+    echo "В Vaultwarden (RESTIC) не задано поле для $var"
     exit 1
   fi
 done
-export AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY RESTIC_REPOSITORY
+RESTIC_PASSWORD_FILE=$(mktemp -u)
+echo -n "$RESTIC_PASS" > "$RESTIC_PASSWORD_FILE"
+chmod 600 "$RESTIC_PASSWORD_FILE"
+trap 'rm -f "$RESTIC_PASSWORD_FILE"' EXIT INT TERM
 export RESTIC_PASSWORD_FILE
-export AWS_DEFAULT_REGION="${AWS_DEFAULT_REGION:-ru-central1}"
 
 if ! command -v restic >/dev/null 2>&1; then
   echo "restic не установлен. Установите: apt install restic."
@@ -80,7 +97,7 @@ fi
 echo "Монтируем репозиторий в $MOUNT_DIR ..."
 restic mount "$MOUNT_DIR" &
 MOUNT_PID=$!
-trap 'kill $MOUNT_PID 2>/dev/null; fusermount -u "$MOUNT_DIR" 2>/dev/null; exit' EXIT INT TERM
+trap 'rm -f "$RESTIC_PASSWORD_FILE"; kill $MOUNT_PID 2>/dev/null; fusermount -u "$MOUNT_DIR" 2>/dev/null; exit' EXIT INT TERM
 
 # В смонтированном репо файлы снимка лежат в ids/<short_id>/<путь>
 SOURCE_FILE="$MOUNT_DIR/ids/$SNAPSHOT_ID/$FILE_IN_SNAPSHOT"