LinuxとFreeBSDの暗号化バックアップは、両方で読み取り可能

tag-icon tag-icon linux encryption freebsd disk-encryption
LinuxとFreeBSDの暗号化バックアップは、両方で読み取り可能

私は Linux と FreeBSD のコンピューターを所有しており、どちらも暗号化されています (それぞれ LUKS と geli)。暗号化され、両方で読み取り可能なバックアップを作成する方法を知りたいです (いずれかのコンピューターに障害が発生した場合、もう 1 つのコンピューターを使用してデータを迅速に回復できます)。

残念ながら、LUKS と geli はどちらもそれぞれのシステム用のカーネル モジュールであり、他のシステムには移植されていないようです。BSD/Linux 互換ファイルシステムに対するいくつかの脅威から判断すると、両方で読み取り可能な暗号化されていないバックアップを作成するのはかなり難しいようです (これを可能にするファイルシステムの唯一のオプションは ext2 のようです)。

そこで私が考えたのは、Linux の KVM に仮想 FreeBSD をセットアップして、geli で暗号化された外部ディスクを読み書きし、そのデータを Linux の LUKS で暗号化されたファイルシステム内の暗号化されていない仮想 ext2 ボリュームに転送できるようにする (またはその逆) というものでした。しかし、これは非常に複雑に思え、正しい方法だとは思えません。

もっと良い/簡単な/好ましい方法はありますか? それとも、上で説明した方法が現時点では最善の選択肢でしょうか?

ありがとうございます。この件に関してご意見をいただければ幸いです。

答え1

いくつかの仮定を立ててみましょう。それらが正しくない場合はコメントしてください。

  1. 異なるオペレーティング システム、場合によっては異なるプラットフォームを搭載したマシンを実行します。
  2. 2台のマシンとLinuxとFreeBSDの場合について説明します
  3. マシンは暗号化されたファイルシステムを使用しています
  4. データのバックアップを作成し、そのバックアップも暗号化したい
  5. アーカイブに貢献しているどのプラットフォームからでも、暗号化されたバックアップ内のデータにアクセスできるようにしたい

(暗号化の形式を区別するためにコメントを追加しました)

生き残ったマシンから他のシステムのデータにアクセスできるようにしたいとおっしゃっています。 1 つの方法は、暗号化されていないバックアップをローカル マシンの暗号化されたファイル システムに保存することです。 もう 1 つの方法は、暗号化されたバックアップをローカル マシンの暗号化されていないファイル システムに保存することです。 暗号化されたバックアップを暗号化されていないファイル システムに保存することをお勧めします。

しかし、余談ですが、暗号化されたバックアップには常に次のような懸念があります。 - キーには本当に注意する必要があります - 部分的な破損は通常、バックアップ全体を破壊します

私の提案:

両方のマシンがアクセスできる 1 つまたは複数のコンテナーにバックアップを作成します。

すべてを LAN 内に保持するには、次の方法があります。

  1. 両方のホストに「バックアップ」ファイルシステムを作成し、暗号化されたバックアップ「パッケージ」を保存します。バックアップ「パッケージ」(brackup では「チャンク」と呼びます)は暗号化されるため、暗号化されたファイルシステムである必要はありません。
  2. これらのファイルシステムをNFSなどでエクスポートし、それぞれ他のホストにマウントする
  3. バックアップを作成するときは、それをローカル ファイルシステムにダンプし、他のホストの NFS マウントされたディレクトリにミラーリングします。これにより、バックアップ ファイルのインスタンスが 2 つできるという便利な副次効果が得られます。

これで、サーバー上に次のファイルシステムが作成されます。

tux の Linux マシンの場合:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

Beastie の FreeBSD マシンの場合:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

バックアップする必要のあるデータの量に応じて、オフサイト コンテナーも検討できます。これはどのクラウド プロバイダーでも使用できます。現在、古いデータが Glacier に古くなるように S3 コンテナーを構成する方法を試行錯誤していますが、価格的には非常に有望に思えます。

答え2

二枚舌- このタスクに最適なツールです。暗号化に GPG を使用します。私はしばらく使用していますが、本当にお勧めです。

代替案として以下を試すことができます:

  • オブナム- 新しいプロジェクトですが、優れた機能がいくつかあります (ssh/scp 経由で使用すると少し遅くなります)
  • げっぷ- パスワードによる暗号化

答え3

TrueCrypt は Linux と FreeBSD の両方で動作するはずです。ただし、私は通常 Windows でのみ TrueCrypt を使用しており、FreeBSD Truecrypt を自分で試したことはありません。状況によって異なる場合があります。

答え4

通常の方法で、自分のマシンのファイルをrsync他のマシンのハード ドライブにバックアップできます。いずれにしてもローカル暗号化を使用しているため、ローカル システムの暗号化で暗号化され、送信は TLS によって保護されます。更新は高速で、十分に実証された暗号化とバックアップのメカニズムを利用できます。

信頼できないシステム上のファイルをバックアップする必要がある場合は、単純な GPG で十分でした。私は Python を使用して暗号化と FTP 転送を自動化しましたが、すでに 2 年間問題なく動作しています。

関連情報