sao lưu được mã hóa cho Linux và FreeBSD có thể đọc được cho cả hai

8

Tôi có Linux và máy tính FreeBSD, cả hai đều được mã hóa (LUKS và geli tương ứng). Tôi tự hỏi làm thế nào để tạo các bản sao lưu cũng sẽ được mã hóa và có thể đọc được cho cả hai (để nếu một trong các máy tính bị lỗi tôi có thể nhanh chóng khôi phục dữ liệu bằng cách sử dụng cái kia).

Thật không may, có vẻ như bot LUKS và geli là các mô-đun hạt nhân cho các hệ thống tương ứng chưa bao giờ được chuyển sang hệ thống tương ứng khác. Đánh giá từ một số mối đe dọa trên các hệ thống tệp tương thích BSD / Linux, có vẻ như rất khó để tạo các bản sao lưu không được mã hóa có thể đọc được cho cả hai (ext2 rõ ràng là lựa chọn duy nhất cho hệ thống tệp cho phép điều này).

Vì vậy, suy nghĩ của tôi là thiết lập một FreeBSD ảo trong KVM của Linux, có thể đọc và ghi một đĩa bên ngoài được mã hóa geli và chuyển dữ liệu sang một khối ext2 ảo không được mã hóa bên trong hệ thống tệp được mã hóa LUKS của Linux (và theo cách khác xung quanh). Tuy nhiên, điều này có vẻ phức tạp khủng khiếp và không thực sự cảm thấy như là cách đúng đắn để làm điều đó.

Có cách nào tốt hơn / dễ dàng hơn / thích hợp hơn không? Hoặc là cách giải thích ở trên hiện là lựa chọn tốt nhất có thể?

Cảm ơn; Tôi đánh giá cao bất kỳ suy nghĩ về vấn đề này.

linux  encryption  freebsd  disk-encryption 
0
nguồn
2
Suy nghĩ duy nhất tôi thấy trong danh sách này en.wikipedia.org/wiki/ , được hỗ trợ trên cả hai là eCryptFS en.wikipedia.org/wiki/ECryptfs mặc dù vậy nó không phải là mã hóa cấp khối. Đây là một lớp hệ thống tập tin.
Zoredache
1
Tôi sẽ sớm thiết lập một hộp khác với hệ điều hành yêu thích của mình để phục vụ và lưu trữ các bản sao lưu.
Ярослав Рахматуллин
Cảm ơn rất nhiều cho cả hai bạn đã suy nghĩ của bạn. Tôi hy vọng một lúc nào đó trong tương lai ai đó sẽ chuyển LUKS sang FreeBSD hoặc geli sang Linux (tôi không may thiếu cả kỹ năng / kinh nghiệm lập trình cần thiết và thời gian để có được chúng.)
0range

Câu trả lời:

3

Hãy thiết lập một vài giả định. Hãy bình luận nếu những điều đó là không chính xác.

  1. bạn chạy các máy với các hệ điều hành khác nhau và các nền tảng tiềm năng khác nhau.
  2. bạn mô tả nó cho trường hợp có 2 máy và Linux và FreeBSD
  3. máy của bạn sử dụng hệ thống tập tin được mã hóa
  4. bạn muốn tạo bản sao lưu dữ liệu của mình và muốn những bản sao lưu đó cũng được mã hóa
  5. bạn muốn có thể truy cập dữ liệu trong các bản sao lưu được mã hóa từ bất kỳ nền tảng nào đóng góp vào kho lưu trữ

(thêm bình luận để phân biệt giữa các hình thức mã hóa)

Bạn đề cập rằng bạn muốn có thể truy cập dữ liệu hệ thống khác, từ máy còn sống. Một cách có thể là lưu trữ các bản sao lưu không được mã hóa, trên máy cục bộ, trên hệ thống tệp được mã hóa của nó. Một cách khác có thể là lưu trữ các bản sao lưu được mã hóa, trên máy cục bộ, trên một hệ thống tệp không được mã hóa. Tôi đề nghị lưu trữ các bản sao lưu được mã hóa, trên các hệ thống tập tin không được mã hóa.

Tuy nhiên, như một bên - luôn có một mối quan tâm về sao lưu được mã hóa: - bạn thực sự cần phải cẩn thận với khóa - tham nhũng một phần thường giết chết toàn bộ bản sao lưu

đề nghị của tôi: sử dụng

để tạo bản sao lưu vào một hoặc nhiều container cả hai máy có thể truy cập.

Để giữ tất cả trong mạng LAN của bạn, bạn có thể:

  1. tạo một hệ thống tập tin "sao lưu" trên cả hai máy chủ, để lưu trữ các "gói" sao lưu được mã hóa. Nó không cần phải là một hệ thống tập tin được mã hóa, vì các "gói" sao lưu (Mudup gọi chúng là "chunk") được lưu trữ trên nó sẽ được mã hóa
  2. xuất các hệ thống tập tin này, ví dụ như với NFS và gắn kết nó trên các máy chủ khác, tương ứng
  3. khi bạn tạo bản sao lưu, kết xuất chúng vào hệ thống tệp cục bộ và phản chiếu chúng vào thư mục gắn trên NFS trên máy chủ khác. Điều này có tác dụng phụ tốt đẹp khi có hai phiên bản tệp sao lưu của bạn.

bây giờ bạn sẽ có các hệ thống tập tin sau trên máy chủ của mình:

trên tux, máy Linux của bạn:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

trên Beastie, bạn máy FreeBSD:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

tùy thuộc vào lượng dữ liệu bạn cần sao lưu, bạn cũng có thể nghĩ về một bộ chứa ngoại vi, bất kỳ nhà cung cấp đám mây nào cũng sẽ làm. Tôi hiện đang chơi xung quanh với việc định cấu hình các thùng chứa S3 của mình để những thứ cũ được chuyển sang Glacier, trông rất hứa hẹn, theo giá cả.

Florenz Kley
nguồn
không chính xác. Tôi không cần nó bị chặn theo từng khối và tôi không cần nó qua mạng (mặc dù các công cụ bạn đề xuất có vẻ rất thú vị). vấn đề là đúng hơn (vì nó đã được Zoredache và ЯЯола vì vậy các bản sao lưu nên được lưu trữ trên một hệ thống tập tin được mã hóa (trên một đĩa khác) có thể truy cập được cho cả hai hệ thống. điều này đặt ra một vấn đề vì cả hệ thống mã hóa riêng và hệ thống tập tin gốc của linux và freebsd đều không tương thích. xin lỗi vì đã không trả lời sớm hơn
0range
ồ, và tôi nên đề cập rằng một số tarball đó chỉ được mã hóa thủ công cho tôi với tư cách là người nhận PGP của tôi. Các thiết lập thông minh hơn sau này có hai tệp, một tệp lưu trữ được mã hóa bằng khóa đối xứng và khóa được mã hóa bằng PGP, cả trong một tarball khác, vì vậy các tệp không bị mất khi chuyển. Không ai trong số đó là tự động độc đáo như các kịch bản được đề cập, nhưng nó đã làm công việc.
Florenz Kley
Tôi chưa bao giờ nghe về sự trùng lặp, nhưng có vẻ như chính xác những gì tôi đang tìm kiếm! Bạn có biết nó bao nhiêu tuổi? Có ổn định không? Tôi không thể tìm thấy bất kỳ ngày nào khi dự án đã bắt đầu.
cnst
Bản sao [ trùng lặp.nongnu.org] đã có từ năm 2002, tôi đang sử dụng nó kể từ ca. 2004.
Florenz Kley
@ 0range - Dọn dẹp phân biệt "mã hóa" một chút. Những gì tôi đang đề xuất không phải là từng khối, nó dựa trên tệp. Đề nghị sử dụng các hệ thống tập tin không được mã hóa, bởi vì chúng có thể được đọc bởi cả hai hệ thống. Lưu trữ các bản sao lưu được mã hóa trên chúng, chúng cũng có thể được đọc trên cả hai nền tảng bằng các công cụ gốc tương ứng. Điều đó sẽ đánh dấu vào ô cả hai yêu cầu, mã hóa và khả năng đọc của bạn trên cả hai nền tảng.
Florenz Kley
2

Sao y - công cụ tuyệt vời cho nhiệm vụ này, sử dụng GPG để mã hóa. Tôi đang sử dụng nó một thời gian và tôi thực sự khuyên bạn nên.

Là lựa chọn thay thế bạn có thể thử:

  • obnam - là một dự án mới, nhưng có một số tính năng hay (hơi chậm nếu sử dụng qua ssh / scp)
  • - mã hóa bằng mật khẩu
rau bina
nguồn
xem bình luận của tôi cho câu trả lời của Florenz Kley ở trên. (và cảm ơn vì đã gợi ý những công cụ đó)
0range
Xin lỗi, tôi chỉ có thể thêm bình luận ở đây. Các công cụ này không phải là từng khối, mà là FS (bạn có thể sao lưu FS và khôi phục nó ngay cả trên các cửa sổ). GPG là một tiêu chuẩn để mã hóa - nó cũng hoạt động trên cả hai. Các chương trình này không chỉ mạng, bạn có thể sao lưu dir vào dir. Vì vậy, với tính trùng lặp, bạn có thể sao lưu cả hai máy và khôi phục sao lưu được mã hóa ở mọi nơi mà bạn có khóa trùng lặp và khóa GPG.
spinus
2

TrueCrypt nên hoạt động cả dưới Linux và FreeBSD. Mặc dù tôi thường xuyên chỉ sử dụng TrueCrypt trong Windows và bản thân tôi đã không dùng thử FreeBSD Truecrypt. YMMV.

Mikhail Kupchik
nguồn
1

Bạn có thể sao lưu các tập tin của máy bằng cách sử dụng bình thường rsynctrên ổ cứng máy khác. Khi bạn đang sử dụng mã hóa cục bộ, nó được mã hóa bằng mã hóa và truyền hệ thống cục bộ được bảo mật bởi TLS. Cập nhật nhanh chóng và bạn gắn bó với các cơ chế mã hóa và sao lưu đã được chứng minh.

Nếu bạn chỉ cần sao lưu các tập tin trên một số hệ thống không tin cậy, GPG đơn giản sẽ hoạt động tốt với tôi. Tôi đã tự động hóa một số mã hóa và chuyển FTP bằng python, nó chạy tốt trong hai năm rồi.

Michael
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.