Eu tenho um computador Linux e um FreeBSD, ambos criptografados (LUKS e geli respectivamente). Estou me perguntando como fazer backups que também seriam criptografados e legíveis para ambos (para que, se um dos computadores falhar, eu pudesse recuperar rapidamente os dados usando o outro).
Infelizmente, parece que o bot LUKS e o geli são módulos de kernel para seus respectivos sistemas que nunca foram portados para o outro. A julgar pelas diversas ameaças em sistemas de arquivos compatíveis com BSD/Linux, parece que é difícil o suficiente fazer backups não criptografados que seriam legíveis para ambos (ext2 aparentemente sendo a única opção para um sistema de arquivos que permitiria isso).
Então, meus pensamentos eram configurar um FreeBSD virtual no KVM do Linux que seria capaz de ler e escrever um disco externo criptografado em geli e transferir os dados para um volume ext2 virtual não criptografado dentro do sistema de arquivos criptografado por LUKS do Linux (e de outra forma em volta). Isto, no entanto, parece terrivelmente complicado e não parece ser a maneira certa de fazê-lo.
Existem maneiras melhores/mais fáceis/mais preferíveis? Ou o caminho explicado acima é atualmente a melhor opção possível?
Obrigado; Agradeço qualquer opinião sobre o assunto.
Responder1
Vamos estabelecer algumas suposições. Comente se não estiverem corretos.
- você executa máquinas com sistemas operacionais diferentes e plataformas potencialmente diferentes.
- você descreve isso para o caso com 2 máquinas, e Linux e FreeBSD
- suas máquinas usam sistemas de arquivos criptografados
- você deseja criar backups de seus dados e deseja que esses backups também sejam criptografados
- você deseja poder acessar os dados nesses backups criptografados de qualquer uma das plataformas que contribuem para o arquivo
(comentário adicionado para fazer uma distinção entre formas de criptografia)
Você mencionou que gostaria de poder acessar os dados dos outros sistemas, a partir da máquina sobrevivente. Uma maneira poderia ser armazenar backups não criptografados, na máquina local, em seu sistema de arquivos criptografado. Outra poderia ser armazenar backups criptografados, na máquina local, em um sistema de arquivos não criptografado. Sugiro armazenar backups criptografados em sistemas de arquivos não criptografados.
No entanto, como um aparte - há sempre uma preocupação com os backups criptografados: - você realmente precisa ter cuidado com a chave - a corrupção parcial geralmente mata todo o backup
minha sugestão: use
- Brackup, ou
- Duplicidade
para criar backups para um ou vários contêineres que ambas as máquinas possam acessar.
Para manter tudo dentro da sua LAN, você poderia:
- crie um sistema de arquivos de "backup" em ambos os hosts, para armazenar os "pacotes" de backup criptografados. Não é necessário um sistema de arquivos criptografado, pois os "pacotes" de backup (o brackup os chama de "pedaços") armazenados nele serão criptografados
- exporte esses sistemas de arquivos, por exemplo, com NFS, e monte-os em outros hosts, respectivamente
- ao criar backups, despeje-os no sistema de arquivos local e espelhe-os no diretório montado em NFS no outro host. Isso tem o bom efeito colateral de ter duas instâncias de seus arquivos de backup.
agora você terá os seguintes sistemas de arquivos em seus servidores:
no tux, sua máquina Linux:
/dev/foo / # encrypted filesystem
/dev/bar /tuxdump # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination
no Beastie, sua máquina FreeBSD:
/dev/flurb / # encrypted filesystem
/dev/baz /daemondump # unencrypted filesystem, local backup
tux:/tuxdump /tuxdump # NFS backup destination
dependendo da quantidade de dados que você precisa fazer backup, você também pode pensar em um contêiner externo, qualquer provedor de nuvem faria. Atualmente estou brincando com a configuração de meus contêineres S3 para que o material antigo envelheça até o Glacier, o que parece muito promissor, em termos de preço.
Responder2
Duplicidade- ótima ferramenta para esta tarefa, usa GPG para criptografia. Estou usando há algum tempo e recomendo muito.
Como alternativas você pode tentar:
Responder3
TrueCrypt deve funcionar tanto no Linux quanto no FreeBSD. Embora eu use regularmente o TrueCrypt apenas no Windows e não tenha experimentado o FreeBSD Truecrypt sozinho. YMMV.
Responder4
Você pode fazer backup dos arquivos de suas máquinas usando rsync
o disco rígido comum de outras máquinas. Como você está usando criptografia local de qualquer maneira, ela é criptografada com a criptografia dos sistemas locais e a transmissão é protegida por TLS. As atualizações são rápidas e você segue mecanismos comprovados de criptografia e backup.
Se você precisar apenas fazer backup de arquivos em algum sistema não confiável, o GPG simples funcionou bem para mim. Automatizei algumas criptografias e transferências de FTP com python, que já funciona bem há dois anos.