зашифровані резервні копії для Linux та FreeBSD для читання для обох

8

У мене є комп'ютер Linux та FreeBSD, зашифровані (LUKS та geli відповідно). Мені цікаво, як зробити резервні копії, які також були б зашифровані і були б читатими для обох (так що, якщо один з комп'ютерів вийшов з ладу, я міг би швидко відновити дані, використовуючи інший).

На жаль, здається, що боти LUKS і geli - це модулі ядра для відповідних систем, які ніколи не переносилися на відповідну іншу. Судячи з кількох загроз для файлових систем, сумісних з BSD / Linux, здається, що досить складно зробити незашифровані резервні копії, які були б читаними для обох (ext2, мабуть, є єдиним варіантом для файлової системи, яка б це дозволила).

Тому мої думки полягали у встановленні віртуального FreeBSD у KVM Linux, який міг би читати та записувати зашифрований зовнішній диск geli та переносити дані на незашифрований віртуальний об'єм ext2 всередині файлової системи, зашифрованої за LUKS, зашифрованої в Linux (та інший спосіб навколо). Це, однак, здається жахливо складним і насправді не відчуваєш себе правильним способом зробити це.

Чи є кращі / легші / більш переважні способи? Або спосіб, пояснений вище, зараз є найкращим варіантом?

Дякую; Я ціную будь-які думки з цього приводу.

— 0помаранчевий
джерело

2

Єдине, що я бачу в цьому списку en.wikipedia.org/wiki/…, який підтримується в обох, це eCryptFS en.wikipedia.org/wiki/ECryptfs, але це не блокування шифрування рівня. Це шар файлової системи.

— Зоредаче

1

Я швидше встановив би ще одну коробку зі своєю улюбленою ОС для обслуговування та зберігання резервних копій.

— Ярослав Рахматуллін

Дуже дякую обом за думки. Я сподіваюсь, що через деякий час хтось поставить LUKS на FreeBSD або geli в Linux (мені, на жаль, не вистачає як необхідних навичок / досвіду програмування, так і часу для їх придбання.)

— помаранчевий

3

Давайте встановимо пару припущень. Прокоментуйте, якщо це невірно.

ви запускаєте машини з різними операційними системами та потенційно різними платформами.
ви описуєте це для випадку з двома машинами та Linux та FreeBSD
ваші машини використовують зашифровані файлові системи
ви хочете створити резервні копії своїх даних і хочете, щоб вони також були зашифровані
ви хочете мати доступ до даних у цих зашифрованих резервних копіях з будь-якої з платформ, що надходять до архіву

(коментар додано для розмежування форм шифрування)

Ви згадуєте, що хотіли б мати доступ до даних інших систем із збереженої машини. Одним із способів може бути зберігання незашифрованих резервних копій на локальній машині, в зашифрованій файловій системі. Іншим може бути зберігання зашифрованих резервних копій на локальній машині, в незашифрованій файловій системі. Я пропоную зберігати зашифровані резервні копії у незашифрованих файлових системах.

Однак, убік - завжди є занепокоєння щодо зашифрованих резервних копій: - Вам дійсно потрібно бути обережними з ключем - часткова корупція зазвичай вбиває всю резервну копію.

моя пропозиція: використовувати

Brackup , або
Подвійність

щоб створити резервні копії до одного або декількох контейнерів, до яких обидва машини можуть отримати доступ.

Щоб зберегти все це у вашій локальній мережі, ви можете:

створити файлову систему "резервного копіювання" на обох хостах, щоб зберігати зашифровані резервні копії "пакети". Для цього не потрібно зашифровувати файлову систему, оскільки резервні "пакети" (brackup називає їх "шматками"), що зберігаються на ній, будуть зашифровані
експортуйте ці файлові системи, наприклад, з NFS, і змонтуйте їх відповідно на інших хостах
коли ви створюєте резервні копії, скиньте їх у локальну файлову систему та віддзеркаліть їх до каталогу, встановленого NFS на іншому хості. Це має гарний побічний ефект наявності двох примірників ваших резервних файлів.

тепер на ваших серверах з'являться такі файлові системи:

на смоксі, вашій машині Linux:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

на Beastie, ви FreeBSD машина:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

залежно від кількості даних, які потрібно створити для резервного копіювання, ви також могли б подумати про контейнер, що знаходиться в офлайні, який би робив будь-який постачальник хмарних послуг. Я зараз розмовляю з налаштуванням своїх контейнерів S3 так, щоб старі речі визрівали до льодовика, що виглядає дуже перспективно, дорого.

— Флоренц Клей
джерело

не зовсім. мені не потрібно, щоб це було блок-за-блоком, і мені не потрібно, щоб він був над мережею (хоча інструменти, які ви пропонуєте, здаються дуже цікавими). проблема, скоріше (як це правильно зрозуміли Зоредаче та Ярослав Рахматуллін), що якщо будь-яка з систем чомусь зламається, мені потрібен спосіб отримати доступ до резервних копій. тому резервні копії повинні зберігатися в зашифрованій файловій системі (на іншому диску), доступній обом системам. це створює проблему, оскільки і рідні системи шифрування, і вроджені файлові системи Linux і freebsd несумісні. вибачте за те, що не реагували раніше.

— помаранчевий

о, і я мушу зазначити, що деякі з цих кульок просто вручну шифруються для мене як мого адресата PGP. Розумніші налаштування пізніше мають два файли, один архів зашифрований симетричним ключем та ключ, зашифрований PGP, обидва в ще одному тарболі, тому файли не втрачаються при передачі. Жодне з цього не є настільки добре автоматизованим, як згадані сценарії, але це зробило роботу.

— Флоренц Клі

Я ніколи не чув про подвійність, але це звучить як саме те, що я шукаю! Ви знаєте, скільки років? Чи стабільний він? Не можу знайти дати, коли проект розпочався.

— cnst

Дублікація [ duplicity.nongnu.org] існує вже з 2002 року, я використовую її з приблизно. 2004.

— Флоренц Клі

@ 0range - трохи очистив відмінність "шифрування". Те, що я пропоную, не є блоком за блоком, а базується на файлах. Запропонуйте використовувати незашифровані файлові системи, оскільки вони можуть читати обидві системи. Зберігайте на них зашифровані резервні копії, вони теж можуть бути прочитані на обох платформах відповідними нативними інструментами. Це має позначити прапорець як на ваших вимогах, так і на шифруванні та читанні на обох платформах.

— Флоренц Клей

2

Дублікат - чудовий інструмент для цього завдання, використовує GPG для шифрування. Я використовую його деякий час і дуже рекомендую.

Як альтернативу можна спробувати:

obnam - це новий проект, але має деякі приємні функції (це трохи повільно, якщо використовувати через ssh / scp)
burp - шифрування паролем

— спінус
джерело

дивіться мій коментар до відповіді Флоренца Клі вище. (і дякую, що запропонували ці інструменти)

— 0range

Вибачте, тут я міг лише додати коментар. Ці інструменти не блок-за-блоком, а FS (ви можете створити резервну копію FS та відновити її навіть у Windows). GPG - стандарт для шифрування - він також працює і на обох. Ці програми є не лише мережевими, ви можете створити резервну копію dir to dir. Таким чином, за допомогою подвійності ви можете створити резервну копію обох машин та відновити зашифровані резервні копії скрізь, де у вас є дублювання та ключ GPG.

— спінус

2

TrueCrypt повинен працювати як під Linux, так і з FreeBSD. Хоча я регулярно використовую TrueCrypt лише під Windows і не намагався FreeBSD Truecrypt самостійно. YMMV.

— Михайло Купчик
джерело

1

Ви можете створювати резервні копії файлів ваших машин, використовуючи звичайні rsyncна жорсткому диску інших машин. Оскільки ви завжди використовуєте локальне шифрування, воно шифрується за допомогою шифрування локальних систем, а передача захищена TLS. Оновлення швидко, і ви дотримуєтесь добре перевірених механізмів шифрування та резервного копіювання.

Якщо вам просто доведеться створювати резервні копії файлів у якійсь недовіреній системі, звичайний GPG працював для мене добре. Я автоматизував деяке шифрування та передачу FTP за допомогою python, який працює непогано вже два роки.

— Майкл
джерело