Best practice per il backup di un dispositivo crittografato LUKS

15

Qual è il metodo più veloce per il backup e il ripristino di un dispositivo crittografato luks (ad esempio un dispositivo USB crittografato completo in un file di immagine).

È possibile decrittografare / accedere al dispositivo USB . Sto cercando una soluzione per montare l'immagine di backup come file (crittografato). Può essere possibile?

Mantenerlo semplice, stupido.

linux  usb  backup  encryption  luks 
mate64
fonte
Vuoi eseguire il backup solo dei file o dell'intero dispositivo come immagine? Il backup deve essere crittografato / compresso / ...? Dove vuoi archiviare il backup?
jofel
@jofel È possibile decrittografare / accedere al dispositivo USB . Sto cercando una soluzione per montare l'immagine di backup come file (crittografato). Può essere possibile?
Mate64,

Risposte:

10

cryptsetupgestisce i file di immagine così come i dispositivi di blocco, se questa era la tua domanda. Quindi, se crei ddun'immagine (che sarà tremendamente enorme) funzionerà. E in caso contrario, è possibile creare il dispositivo loop da soli.

La migliore pratica (se si desidera mantenere crittografato il backup) è di crittografare anche il disco di backup, quindi aprire entrambi i contenitori, quindi eseguire qualsiasi soluzione di backup di propria scelta come si farebbe con i filesystem non crittografati. Non sarà il metodo più veloce poiché decifrerebbe i dati dal disco di origine e quindi li ricodificerebbe per il disco di backup. D'altra parte, consente soluzioni di backup incrementali, quindi dovrebbe comunque battere in media la creazione di immagini dd.

Se si desidera attenersi a dd, l'unico modo per rendere qualcosa di più veloce di quello ddsarebbe una partimagesorta di che prende in considerazione l'intestazione LUKS e l'offset, in modo da archiviare solo i dati crittografati effettivamente utilizzati dal filesystem.

Se il disco di origine è un SSD e si consente il TRIM all'interno di LUKS e l'SSD mostra le aree tagliate come zero, si ottiene questo comportamento gratuitamente dd conv=sparse. Tuttavia, non è ancora qualcosa che consiglierei.

frostschutz
fonte
+1 Ottima risposta , sei un vero maestro gnu / linux !
Mate64,
7

Il metodo più semplice è rendere il sistema di backup indipendente dal sistema di crittografia. Creare un volume crittografato per il backup. Montare sia il volume originale che il volume di backup ed eseguire il software di backup a livello di filesystem preferito.

Oltre alla semplicità, un vantaggio con questo metodo è che il volume di backup non deve avere le stesse dimensioni e contenuti dell'originale. È possibile eseguire il backup in una sottodirectory, è possibile eseguire backup incrementali, ecc.

C'è anche un leggero vantaggio in termini di sicurezza. Se un utente malintenzionato acquisisce il backup e trova la password e il volume di backup è una copia semplice del volume crittografato, sarà necessario ricodificare il volume originale. Se il volume di backup è crittografato in modo indipendente, è sufficiente modificare la password sul volume originale.

Gilles 'SO- smetti di essere malvagio'
fonte
4

Cosa ho fatto

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
Eero Aaltonen
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.