verschlüsselte Backups für Linux und FreeBSD, für beide lesbar

tag-icon tag-icon linux encryption freebsd disk-encryption
verschlüsselte Backups für Linux und FreeBSD, für beide lesbar

Ich habe einen Linux- und einen FreeBSD-Computer, beide verschlüsselt (LUKS bzw. Geli). Ich frage mich, wie ich Backups erstellen kann, die ebenfalls verschlüsselt und für beide lesbar sind (so dass ich bei einem Ausfall eines der Computer die Daten schnell auf dem anderen wiederherstellen kann).

Leider scheinen sowohl LUKS als auch Geli Kernelmodule für ihre jeweiligen Systeme zu sein, die nie auf das jeweils andere portiert wurden. Gemessen an den zahlreichen Bedrohungen für BSD/Linux-kompatible Dateisysteme scheint es schwierig genug zu sein, unverschlüsselte Backups zu erstellen, die für beide Systeme lesbar wären (ext2 ist anscheinend die einzige Option für ein Dateisystem, das dies ermöglicht).

Meine Idee war also, ein virtuelles FreeBSD im KVM von Linux einzurichten, das eine mit Geli verschlüsselte externe Festplatte lesen und beschreiben und die Daten auf ein unverschlüsseltes virtuelles Ext2-Volume innerhalb des mit LUKS verschlüsselten Dateisystems von Linux übertragen kann (und umgekehrt). Das scheint jedoch furchtbar kompliziert und nicht wirklich der richtige Weg zu sein.

Gibt es bessere/einfachere/vorzugsweisere Möglichkeiten? Oder ist die oben erläuterte Möglichkeit derzeit die bestmögliche?

Danke. Ich freue mich über jede Meinung zu diesem Thema.

Antwort1

Lassen Sie uns ein paar Annahmen treffen. Geben Sie bitte einen Kommentar ab, wenn diese nicht zutreffen.

  1. Sie betreiben Maschinen mit unterschiedlichen Betriebssystemen und möglicherweise unterschiedlichen Plattformen.
  2. Sie beschreiben es für den Fall mit 2 Maschinen und Linux und FreeBSD
  3. Ihre Maschinen verwenden verschlüsselte Dateisysteme
  4. Sie möchten Backups Ihrer Daten erstellen und diese Backups auch verschlüsseln
  5. Sie möchten von allen Plattformen, die zum Archiv beitragen, auf die Daten in diesen verschlüsselten Backups zugreifen können

(Kommentar hinzugefügt, um zwischen den Verschlüsselungsformen zu unterscheiden)

Sie erwähnen, dass Sie von der überlebenden Maschine aus auf die Daten der anderen Systeme zugreifen möchten. Eine Möglichkeit könnte darin bestehen, unverschlüsselte Backups auf der lokalen Maschine in ihrem verschlüsselten Dateisystem zu speichern. Eine andere Möglichkeit könnte darin bestehen, verschlüsselte Backups auf der lokalen Maschine in einem nicht verschlüsselten Dateisystem zu speichern. Ich schlage vor, verschlüsselte Backups auf nicht verschlüsselten Dateisystemen zu speichern.

Allerdings gibt es bei verschlüsselten Backups immer Bedenken: - Sie müssen mit dem Schlüssel sehr vorsichtig sein - eine teilweise Beschädigung zerstört normalerweise das gesamte Backup

mein Vorschlag: verwenden

um Backups in einem oder mehreren Containern zu erstellen, auf die beide Maschinen zugreifen können.

Um alles innerhalb Ihres LAN zu behalten, können Sie:

  1. Erstellen Sie auf beiden Hosts ein „Backup“-Dateisystem, um die verschlüsselten Backup-„Pakete“ zu speichern. Es muss kein verschlüsseltes Dateisystem sein, da die darauf gespeicherten Backup-„Pakete“ (brackup nennt sie „Chunks“) verschlüsselt sind.
  2. Exportieren Sie diese Dateisysteme, z. B. mit NFS, und mounten Sie sie auf den anderen Hosts.
  3. Wenn Sie Backups erstellen, speichern Sie diese im lokalen Dateisystem und spiegeln Sie sie in das per NFS gemountete Verzeichnis auf dem anderen Host. Dies hat den netten Nebeneffekt, dass Sie zwei Instanzen Ihrer Backup-Dateien haben.

Sie haben jetzt die folgenden Dateisysteme auf Ihren Servern:

auf Tux, Ihrem Linux-Rechner:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

auf Beastie, du FreeBSD-Maschine:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

je nach Datenmenge, die Sie sichern müssen, könnten Sie auch über einen externen Container nachdenken, jeder Cloud-Anbieter ist geeignet. Ich spiele derzeit damit herum, meine S3-Container so zu konfigurieren, dass altes Zeug auf Glacier ausgelagert wird, das sieht preislich sehr vielversprechend aus.

Antwort2

Duplizität- tolles Tool für diese Aufgabe, verwendet GPG zur Verschlüsselung. Ich verwende es schon seit einiger Zeit und kann es wirklich empfehlen.

Als Alternativen können Sie Folgendes versuchen:

  • obnam- ist ein neues Projekt, hat aber einige nette Features (es ist etwas langsam bei Verwendung über SSH/SCP)
  • rülpsen- Verschlüsselung mit Passwort

Antwort3

TrueCrypt sollte sowohl unter Linux als auch unter FreeBSD funktionieren. Allerdings verwende ich TrueCrypt regelmäßig nur unter Windows und habe FreeBSD Truecrypt selbst noch nicht ausprobiert. Ihre Ergebnisse können abweichen.

Antwort4

Sie können die Dateien Ihrer Maschinen ganz normal rsyncauf der Festplatte der anderen Maschine sichern. Da Sie ohnehin lokale Verschlüsselung verwenden, werden die Dateien mit der Verschlüsselung des lokalen Systems verschlüsselt und die Übertragung ist durch TLS gesichert. Updates sind schnell und Sie bleiben bei bewährten Verschlüsselungs- und Sicherungsmechanismen.

Wenn Sie nur Dateien auf einem nicht vertrauenswürdigen System sichern müssen, hat sich einfaches GPG bei mir bewährt. Ich habe einige Verschlüsselungen und FTP-Übertragungen mit Python automatisiert, was bereits seit zwei Jahren problemlos läuft.

verwandte Informationen