Jak zarządzać kopiami zapasowymi zaszyfrowanych partycji


1

Mam z laptopem następujący materiał:

  • Dysk SSD 20GiB
  • Dysk twardy 500 GB (dysk A)
  • Zewnętrzny dysk twardy (dysk B)

Czego chcę :

  • Mój Linux (Debian 9) zaszyfrowany na poziomie partycji (którym zarządzam), z klasyczną separacją (root-var-home-tmp-boot) na dysku SSD.
  • Kopia zapasowa. Nie jestem pewien, jak tego chcę, najlepiej z wersjonowaniem, ale z zaszyfrowaną partycją, która oznaczałaby synchronizację na poziomie systemu plików, a następnie szyfrowanie kopii zapasowej.

Na razie najlepszym rozwiązaniem, jakie widziałem, było albo wdrożenie RAID 1 ( mdadm --> LUKS --> LVM --> ext4), albo użycie rsynclub dd.

Wydaje się, że mdadmjest to najlepszy sposób na osiągnięcie tego, czego chcę ze względu na szyfrowanie, a użycie ddpartycji na żywo może powodować problemy. Ale to oznacza, że ​​muszę stale używać Dysku A z woluminem 120 GB, a Dysku B jako dysku opcjonalnego jest moją prawdziwą kopią zapasową.

Czy jest więc lepszy sposób? Wydaje mi się, że naprawdę powinienem mieć coś takiego jak pełny dysk, który można wykonać podczas rozruchu przed odszyfrowaniem lub zamknięciem. Byłoby nawet lepiej w przypadku przywracania, ponieważ chcę jak najlepiej chronić przed uszkodzeniem systemu.
Czy użycie rozwiązania podobnego rsynclub ddlepszego w celu zwiększenia wydajności, nawet jeśli oznacza to ponowne szyfrowanie? Czy istnieje prosty sposób na przywrócenie z czystej kopii zapasowej, jeśli cały system jest uszkodzony?

Wszelkie sugestie są mile widziane.
Dzięki!

Odpowiedzi:


0

Pod warunkiem, że korzystasz z szyfrowania AES, a Twój laptop obsługuje aes-ni (prawie wszystkie współczesne procesory x86), szyfrowanie i deszyfrowanie nie jest drogie. Najlepszym rozwiązaniem byłoby prawdopodobnie użycie rsnapshot na zaszyfrowanym dysku. Rsnapshot używa rsync i dowiązań symbolicznych, aby zapewnić łatwą w użyciu wersjonowanie, a tylko duplikaty plików, które uległy zmianie, a nawet można wykonać zdalnie przez ssh (co oznacza, że ​​można je zautomatyzować i ograniczyć przepustowość, aby zminimalizować wpływ na wydajność). Jeśli korzystasz z lokalnego dysku wymiennego, możesz zachować plik klucza dla zaszyfrowanego dysku wymiennego w systemie głównym (tzn. Aby był dostępny tylko po odszyfrowaniu dysku głównego) i sprawić, by był mniejszy - po prostu upewnij się, że masz kopię zapasową klucz i / lub drugie alternatywne hasło.


Dzięki, właśnie konfiguruję to rozwiązanie. Zobaczę, ile czasu zajmuje zrobienie migawek (po zakończeniu pierwszej). O ssh, o ile nie masz na myśli, że mogę kontrolować go zdalnie lub dodając warstwę szyfrowania, nie przesłałbym danych przez nią - nie zapewnia takiego samego bezpieczeństwa jak pełny zaszyfrowany dysk.
Zumado,

Mylisz tutaj dwie rzeczy - ssh szyfruje dane w locie / w sieci - i zapobiega ich przechwyceniu - i jest tak wszechobecny, że można go łatwo dodać. Różni się to całkowicie od szyfrowania w spoczynku - tak właśnie przechowywane są dane na dysku. Ponieważ szyfrowanie zawsze wiąże się z pewnymi kosztami - które uznałeś za wartościowe - jeśli nie tworzysz kopii zapasowej na fizycznie podłączonym dysku, naprawdę chcesz obu - narzut ssh jest trywialny w porównaniu z kosztem operacji we / wy dysku.
davidgo,

„zapobiega przechwyceniu go”: Nie, to miałem na myśli, nie robi tego. Może jestem zbyt paranoikiem, ale od momentu ujawnienia, że ​​ktoś może go złamać, nie uważam tego za bezpieczne. Zobacz en.wikipedia.org/wiki/…
Zumado,

Co? AFAIK, SSH nie jest niepewny (z wyjątkiem konkretnego wdrożenia, które zostało poprawione wiele lat temu). Proszę doradzić, jak można to złamać?
davidgo,

Cóż, dałem ci link. Nie jest zepsuty per se, implementacje klientów są od lat (narzędzie CIA Gyrfalcon dla OpenSSH w systemie Linux). W każdym razie to tylko ogólne wytyczne, których przestrzegam, chyba że muszę, staram się nie komunikować wrażliwych danych przez Internet (nawet zaszyfrowanych).
Zumado,
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.