зашифрованные резервные копии для Linux и FreeBSD, доступные для чтения обоим

Question

У меня есть компьютер с Linux и FreeBSD, оба зашифрованные (LUKS и geli соответственно). Мне интересно, как сделать резервные копии, которые также были бы зашифрованы и были бы доступны для чтения обоим (чтобы в случае сбоя одного из компьютеров я мог быстро восстановить данные, используя другой).

К сожалению, кажется, что bot LUKS и geli являются модулями ядра для этих соответствующих систем, которые никогда не были перенесены на соответствующие другие системы. Судя по нескольким угрозам в BSD/Linux-совместимых файловых системах, кажется, что достаточно сложно сделать незашифрованные резервные копии, которые были бы доступны для чтения обоим (ext2, очевидно, является единственным вариантом для файловой системы, которая позволила бы это).

Поэтому я подумал о том, чтобы установить виртуальную FreeBSD в Linux KVM, которая могла бы читать и записывать внешний диск с зашифрованным гели и передавать данные на незашифрованный виртуальный том ext2 внутри файловой системы с шифрованием LUKS в Linux (и другим способом). вокруг). Это, однако, кажется ужасно сложным и на самом деле не похоже на правильный способ сделать это.

Есть ли лучшие / более легкие / более предпочтительные способы? Или способ, описанный выше, в настоящее время является наилучшим вариантом?

Спасибо; Я ценю любые мысли по этому вопросу.

Answer 1

Давайте установим пару предположений. Прокомментируйте, если они не верны.

1. вы запускаете машины с разными операционными системами и потенциально разными платформами.
2. Вы описываете это для случая с 2 машинами, а также Linux и FreeBSD
3. ваши машины используют зашифрованные файловые системы
4. Вы хотите создавать резервные копии своих данных и хотите, чтобы эти резервные копии также были зашифрованы
5. вы хотите иметь возможность доступа к данным в этих зашифрованных резервных копиях с любой из платформ, участвующих в архиве

(комментарий добавлен, чтобы сделать различие между формами шифрования)

Вы упоминаете, что хотели бы иметь доступ к данным других систем с выжившей машины. Одним из способов может быть сохранение незашифрованных резервных копий на локальном компьютере в зашифрованной файловой системе. Другой способ - хранить зашифрованные резервные копии на локальном компьютере в незашифрованной файловой системе. Я предлагаю хранить зашифрованные резервные копии на незашифрованных файловых системах.

Тем не менее, кроме этого - всегда есть проблема с зашифрованными резервными копиями:- вам действительно нужно быть осторожным с ключом - частичное повреждение обычно убивает всю резервную копию

мое предложение: использовать

• Бред или
• двуличность

создавать резервные копии в один или несколько контейнеров, к которым могут обращаться обе машины.

Чтобы сохранить все это в вашей локальной сети, вы можете:

1. создайте "резервную" файловую систему на обоих хостах, чтобы хранить зашифрованные резервные "пакеты". Не нужно быть зашифрованной файловой системой, поскольку сохраненные в ней резервные "пакеты" (brackup называет их "чанками") будут зашифрованы
2. экспортируйте эти файловые системы, например, с помощью NFS, и смонтируйте их на других хостах соответственно
3. при создании резервных копий выведите их в локальную файловую систему и отразите их в каталог, смонтированный по NFS, на другом хосте. Это имеет приятный побочный эффект наличия двух экземпляров ваших файлов резервных копий.

Теперь у вас будут следующие файловые системы на ваших серверах:

на tux, ваш Linux-компьютер:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

на Beastie, вы FreeBSD машина:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

в зависимости от объема данных, которые необходимо резервировать, вы также можете подумать о внешнем контейнере, который подойдет любому облачному провайдеру. В настоящее время я играю с настройкой своих контейнеров S3, чтобы старые вещи стареют до Glacier, что выглядит очень многообещающе, по цене.

Answer 2

Duplicity - отличный инструмент для решения этой задачи, использует GPG для шифрования. Я использую это в течение некоторого времени, и я действительно рекомендую.

В качестве альтернативы вы можете попробовать:

• obnam - это новый проект, но имеет несколько приятных особенностей (он немного медленный при использовании через ssh/scp)
• отрыжка - шифрование с паролем

Answer 3

TrueCrypt должен работать как под Linux, так и под FreeBSD. Хотя я регулярно использую TrueCrypt только под Windows и не пробовал FreeBSD Truecrypt самостоятельно. YMMV.

Answer 4

Вы можете создавать резервные копии файлов своих машин, используя обычный rsync на жестком диске других машин. В любом случае, поскольку вы используете локальное шифрование, оно шифруется с помощью шифрования локальных систем, а передача защищена TLS. Обновления выполняются быстро, и вы придерживаетесь проверенных механизмов шифрования и резервного копирования.

Если вам просто нужно сделать резервную копию файлов в какой-то ненадежной системе, обычный GPG хорошо сработал для меня. Я автоматизировал некоторые функции шифрования и FTP-передачи с помощью Python, который работает уже два года.