Najlepsza praktyka tworzenia kopii zapasowych urządzenia szyfrowanego LUKS

15

Jaki jest najszybszy sposób do tworzenia kopii zapasowych i przywracania LUKS zaszyfrowanego urządzenia (np pełny szyfrowane USB-urządzenie do obrazu pliku).

Urządzenie USB można odszyfrować / uzyskać do niego dostęp . Szukam rozwiązania do zamontowania obrazu kopii zapasowej jako pliku (zakodowanego). Czy to możliwe?

Niech to będzie możliwie proste.

linux usb backup encryption luks mate64
źródło
Czy chcesz wykonać kopię zapasową tylko plików lub całego urządzenia jako obrazu? Czy kopia zapasowa powinna być zaszyfrowana / skompresowana / ...? Gdzie chcesz przechowywać kopię zapasową?
jofel
@ jofel Urządzenie USB można odszyfrować / uzyskać do niego dostęp . Szukam rozwiązania do zamontowania obrazu kopii zapasowej jako pliku (zakodowanego). Czy to możliwe?
mate64

Odpowiedzi:

10

cryptsetupobsługuje pliki obrazów, a także blokuje urządzenia, jeśli to było twoje pytanie. Więc jeśli stworzysz ddobraz (który będzie cholernie wielki), zadziała. A jeśli nie, możesz po prostu samodzielnie stworzyć urządzenie pętli.

Najlepszą praktyką (jeśli chcesz zachować kopię zapasową zaszyfrowaną) jest również zaszyfrowanie dysku z kopią zapasową, następnie otwórz oba kontenery, a następnie uruchom dowolne wybrane rozwiązanie do tworzenia kopii zapasowych, tak jak w przypadku nieszyfrowanych systemów plików. Nie będzie to najszybsza metoda, ponieważ odszyfruje dane z dysku źródłowego, a następnie ponownie zaszyfruje je na dysku kopii zapasowej. Z drugiej strony pozwala na tworzenie przyrostowych rozwiązań tworzenia kopii zapasowych, więc nadal powinien być lepszy niż tworzenie obrazów w formacie dd.

Jeśli chcesz się trzymać dd, jedynym sposobem na zrobienie czegoś szybciej niż ddbyłoby to partimagew rodzaju, który bierze pod uwagę nagłówek LUKS i przesunięcie, więc przechowuje tylko zaszyfrowane dane, które są faktycznie używane przez system plików.

Jeśli dyskiem źródłowym jest dysk SSD i zezwalasz na TRIM wewnątrz LUKS, a SSD pokazuje przycięte regiony jako zera, otrzymasz takie zachowanie za darmo dd conv=sparse. Jednak nadal nie polecam tego.

frostschutz
źródło
+1 Doskonała odpowiedź , jesteś prawdziwym mistrzem GNU / Linux !
mate64,
7

Najprostszą metodą jest uniezależnienie systemu tworzenia kopii zapasowych od systemu szyfrowania. Utwórz zaszyfrowany wolumin dla kopii zapasowej. Podłącz zarówno oryginalny wolumin, jak i wolumin kopii zapasowej i uruchom swoje ulubione oprogramowanie do tworzenia kopii zapasowych na poziomie systemu plików.

Oprócz prostoty zaletą tej metody jest to, że wolumin kopii zapasowej nie musi mieć tego samego rozmiaru i zawartości co oryginał. Możesz wykonać kopię zapasową do podkatalogu, możesz tworzyć przyrostowe kopie zapasowe itp.

Istnieje również bardzo niewielka przewaga bezpieczeństwa. Jeśli osoba atakująca złapie kopię zapasową i znajdzie hasło, a wolumin kopii zapasowej jest prostą kopią zaszyfrowanego woluminu, konieczne będzie ponowne szyfrowanie oryginalnego woluminu. Jeśli wolumin kopii zapasowej jest szyfrowany niezależnie, wystarczy zmienić hasło na oryginalnym woluminie.

Gilles „SO- przestań być zły”
źródło
4

Co ja zrobiłem

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
Eero Aaltonen
źródło