シナリオは次のとおりです。オフィスにローカル サーバーがあり、それをプログラムで (bash スクリプトを使用して) 毎日、家に持ち帰る外付けハード ディスクにバックアップしたいと考えています。
ハードディスク内のデータは暗号化する必要があります。
それには 3 つの実行可能な解決策があると思いますが、私のケースではどれが最適か、皆さんの意見を伺いたくここに来ました。
解決策1: ハードディスクにコピーする前に、バックアップスクリプトを使用して各ファイルを暗号化する
解決策2: HD上のボリューム全体を暗号化する
解決策3: ハードウェア暗号化機能を備えた外付けハードドライブを購入する
私の目標は次のとおりです。
* ソリューションは簡単に実装できる必要があります
。* バックアップ全体を人間の介入なしに HD にコピーできる必要があります (スクリプトのみを使用)。
* HD 上のバックアップをプログラムで読み取れる必要があります (人間がパスワードを入力する必要はありません)。
* ファイルの復号化はかなり高速である必要があります。
* HD に書き込まれたバックアップは可能な限り信頼できる必要があります。
よろしくお願いします、ダニエル
答え1
TrueCrypt を使用することをお勧めします。外付けハード ドライブに 1 つの大きな「コンテナ」ファイルを作成します。このファイルは実際には暗号化されたハード ドライブ イメージであり、/mnt/ の下にマウントできます (例)。
バックアップするには、TrueCrypt ボリュームをアンマウントし、コンテナ ファイルをバックアップするだけです。
TrueCrypt は非常に堅牢です。私たちは長年、非常に大規模なファイル システムでこれを使用してきました。また、コマンドライン プログラムを使用してスクリプトを作成することもできます。
答え2
ソリューションを評価するには:
解決策 1: HD 上のデータに関する多くの情報 (ファイル名やサイズなど) が漏洩します
解決策 2: 両端に暗号化された FS とカーネル モジュールが必要です。完全に暗号化されたディスクを扱うのは、通常、それほど楽しいことではありません。
解決策 3: 購入した暗号がどの程度優れているかわかりません。優れた暗号は高価であり、HD の HW 実装はひどく壊れていたり、低速であったりすることがよくあります。パスワードなしではバックアップをコピーできません (要件の 1 つに違反します)。
私の提案は、dm-crypt または Truecrypt を使用して、ループバック マウント用のディスク イメージを作成することです。イメージにデータを保存するときはパスワードを入力する必要がありますが、パスワードを使用せずにファイルをコピーできます。ただし、バックアップを復号化するにはパスワードが必要です。
dm-crypt は、最新のハードウェアであれば、HD よりも高速になるはずです。
答え3
TrueCrypt もぜひお勧めします。バージョン 7 がリリースされたばかりで、暗号化時間が大幅に短縮されています。トラベラーズ ディスクを作成することもできます。これは基本的にディスクを暗号化しますが、TrueCrypt がインストールされているかどうかに関係なく、どの PC でも使用できるようになります。非常に便利です。好みに応じて、暗号化されたディスクを手動でマウントするか、自動でマウントするかを設定できます。