Eu tenho o seguinte material com meu laptop:

tag-icon tag-icon linux partitioning backup encryption lvm
Eu tenho o seguinte material com meu laptop:

Eu tenho o seguinte material com meu laptop:

  • SSD de 20 GiB
  • HDD de 500 GiB (Disco A)
  • HDD externo (disco B)

O que eu quero :

  • Meu Linux (Debian 9) criptografado no nível da partição (que eu gerencio), com separação clássica (root-var-home-tmp-boot) no SSD.
  • Um backup disso. Não tenho tanta certeza de como desejo, de preferência com algum controle de versão, mas com a partição criptografada, o que significaria sincronizar no nível do sistema de arquivos e, em seguida, criptografar o backup.

Por enquanto, as melhores soluções que vi foram implementar RAID 1 ( mdadm --> LUKS --> LVM --> ext4) ou usar rsyncou dd.

Parece que mdadmé a melhor maneira de conseguir o que desejo por causa da criptografia, e o uso ddem uma partição ativa pode causar problemas. Mas isso significa que tenho que usar continuamente o Disco A com um volume de 120GiB e o Disco B como disco opcional sendo meu backup real.

Então, há alguma maneira melhor de ir? Eu sinto que deveria haver, no final, o que eu realmente gostaria é de algum tipo de dd do disco completo, que pudesse ser feito na inicialização, antes da descriptografia ou no desligamento. Isso seria ainda melhor para a restauração, porque quero proteger ao máximo contra a corrupção do sistema.
O uso de uma solução é semelhante rsyncou ddmelhor para desempenho, mesmo que isso signifique criptografar novamente? Haveria uma maneira fácil de restaurar a partir de um backup limpo se todo o sistema estivesse corrompido?

Qualquer sugestão é bem-vinda.
Obrigado!

Responder1

Desde que você use criptografia AES e seu laptop suporte aes-ni (quase todas as CPUs x86 modernas suportam), a criptografia e a descriptografia não são caras. Sua melhor aposta provavelmente seria usar o rsnapshot em um disco criptografado. Rsnapshot usa rsync e links simbólicos para fornecer controle de versão simples de usar, enquanto apenas duplica arquivos que foram alterados e pode até ser feito remotamente por ssh (o que significa que pode ser automatizado e a largura de banda limitada para minimizar o impacto no desempenho). Se estiver usando um disco removível local, você pode manter um arquivo de chave para o disco removível criptografado no sistema principal (ou seja, só estará acessível quando o disco principal for descriptografado) e fazer com que pareça menos - apenas certifique-se de ter um backup de a chave e/ou uma segunda senha alternativa.

informação relacionada