Найкраща практика резервного копіювання пристрою, зашифрованого LUKS

15

Що саме швидкий спосіб для резервного копіювання та відновлення lüks зашифрованого пристрої (наприклад, повне зашифровані USB-пристрій в образі-файл).

USB-пристрій можна розшифрувати / отримати доступ до нього . Я шукаю рішення, як змонтувати резервне зображення як файл (зашифроване). Чи це можливо?

Будьте простим, дурним.

linux  usb  backup  encryption  luks 
mate64
джерело
Ви хочете створити резервну копію лише файлів або всього пристрою у вигляді зображення? Чи слід резервну копію шифрувати / стискати / ...? Де ви хочете зберігати резервну копію?
jofel
@jofel Пристрій usb можна розшифрувати / отримати доступ . Я шукаю рішення, як змонтувати резервне зображення як файл (зашифроване). Чи це можливо?
mate64

Відповіді:

10

cryptsetupобробляє файли зображень так само добре, як і блокує пристрої, якщо це було ваше питання. Тож якщо ви зробите ddзображення (яке буде вигадливим величезним), воно спрацює. А якби цього не було, ви могли б просто створити циклічний пристрій самостійно.

Найкраща практика (якщо ви хочете зберегти резервну копію в зашифрованому вигляді) - це також зашифрувати резервний диск, а потім відкрити обидва контейнери, а потім запустити будь-яке рішення резервного копіювання на ваш вибір, як у випадку з незашифрованими файловими системами. Це не буде найшвидшим методом, оскільки він розшифрує дані з вихідного диска, а потім повторно зашифрує його на резервному диску. З іншого боку, він дозволяє використовувати додаткові рішення для резервного копіювання, тому він все одно повинен перемагати створення DD-образу в середньому.

Якщо ви хочете дотримуватися dd, єдиний спосіб зробити щось швидше, ніж це ddбув би partimageрізновид, який враховує заголовок і зсув LUKS, тому він зберігатиме лише зашифровані дані, які фактично використовуються файловою системою.

Якщо вихідний диск є SSD і ви дозволите TRIM всередині LUKS, а SSD показує обрізані області як нулі, ви отримуєте цю поведінку безкоштовно dd conv=sparse. Я все-таки не те, що я б рекомендував.

заморожувати
джерело
+1 Відмінна відповідь , ви справжній маестро gnu / linux !
mate64
7

Найпростіший метод - зробити систему резервного копіювання незалежною від системи шифрування. Створіть зашифрований том для резервної копії. Змонтуйте як оригінальний, так і резервний об'єм, і запустіть улюблене програмне забезпечення для резервного копіювання на рівні файлової системи.

Крім простоти, перевагою цього методу є те, що об'єм резервного копіювання не повинен мати такий же розмір і вміст, як оригінал. Ви можете створити резервну копію до підкаталогу, можна зробити додаткові резервні копії тощо.

Також є дуже незначна перевага безпеки. Якщо зловмисник схопить вашу резервну копію і знайде ваш пароль, а том резервного копіювання - це пряма копія зашифрованого тома, вам потрібно буде повторно зашифрувати оригінальний том. Якщо об'єм резервного копіювання незалежно зашифрований, достатньо змінити пароль на початковий том.

Жил "ТАК - перестань бути злим"
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.