Лучшая практика для резервного копирования зашифрованного устройства LUKS

15

Что самое быстрый способ для резервного копирования и восстановление lüks зашифрованного устройства (например, полное зашифрованы USB-устройство в образе-файл).

USB-устройство может быть расшифровано / доступно . Я ищу решение для монтирования образа резервной копии в виде файла (зашифрованного). Это возможно?

Держать его просто глупо.

linux  usb  backup  encryption  luks 
mate64
источник
Хотите сделать резервную копию только файлов или всего устройства в виде образа? Резервная копия должна быть зашифрована / сжата / ...? Где вы хотите хранить резервную копию?
Джофель
@jofel USB-устройство может быть расшифровано / доступно . Я ищу решение для монтирования образа резервной копии в виде файла (зашифрованного). Это возможно?
mate64

Ответы:

10

cryptsetupобрабатывает файлы изображений так же, как блокирует устройства, если это был ваш вопрос. Так что, если вы сделаете ddизображение (которое будет невероятно огромным), оно будет работать. А если этого не произойдет, вы можете просто создать петлевое устройство самостоятельно.

Лучшая практика (если вы хотите сохранить резервную копию в зашифрованном виде) также заключается в том, чтобы также зашифровать диск резервной копии, затем открыть оба контейнера, а затем запустить любое решение для резервного копирования по вашему выбору, как если бы вы использовали незашифрованные файловые системы. Это не будет самый быстрый метод, поскольку он расшифровывает данные с исходного диска, а затем повторно шифрует его для резервного диска. С другой стороны, он допускает решения для инкрементного резервного копирования, поэтому он все равно должен побеждать dd-image-creation в среднем.

Если вы хотите придерживаться этого dd, единственный способ сделать что-то быстрее, чем ddкакой-либо, partimageкоторый принимает во внимание заголовок LUKS и смещение, поэтому он будет хранить только зашифрованные данные, которые фактически используются файловой системой.

Если исходный диск является SSD и вы разрешаете TRIM внутри LUKS, а SSD показывает обрезанные области как нули, вы получаете это поведение бесплатно с помощью dd conv=sparse. Это все еще не то, что я бы порекомендовал, хотя.

frostschutz
источник
+1 Отличный ответ , ты настоящий маэстро гну / линукс !
mate64
7

Самый простой способ - сделать резервную систему независимой от системы шифрования. Создайте зашифрованный том для резервной копии. Смонтируйте как исходный том, так и резервный том, и запустите ваше любимое программное обеспечение для резервного копирования на уровне файловой системы.

Помимо простоты, преимущество этого метода состоит в том, что резервный том не должен иметь тот же размер и содержание, что и исходный. Вы можете выполнить резервное копирование в подкаталог, сделать резервные копии и т. Д.

Есть также очень небольшое преимущество в безопасности. Если злоумышленник захватывает вашу резервную копию и находит ваш пароль, а том резервной копии является прямой копией зашифрованного тома, вам необходимо повторно зашифровать исходный том. Если том резервной копии независимо зашифрован, достаточно изменить пароль на исходном томе.

Жиль "ТАК - прекрати быть злым"
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.