Este é o cenário. Tenho um servidor local no escritório do qual desejo fazer backup programaticamente (por meio de um script bash) todos os dias em um disco rígido externo que levarei para casa.
Os dados no disco rígido devem ser criptografados.
Posso ver três soluções viáveis para isso e estou aqui para pedir a sua opinião sobre qual delas funcionará melhor para o meu caso.
solução 1: criptografar todo e qualquer arquivo por meio do script de backup antes de copiá-lo no disco rígido
solução 2: criptografar todo o volume no HD
solução 3: compre um disco rígido externo que ofereça criptografia de hardware
Meus objetivos são:
* a solução deve ser fácil de implementar
* Preciso ser capaz de copiar todo o backup para o HD sem intervenção humana (apenas usando um script)
* Preciso ser capaz de ler o backup no HD programaticamente (lá não deve haver nenhum humano digitando a senha)
* a descriptografia dos arquivos deve ser bastante rápida
* o backup gravado no HD deve ser o mais confiável possível
Desde já agradeço, Danielle
Responder1
Eu sugeriria usar TrueCrypt. Você criaria um grande arquivo "contêiner" no disco rígido externo. Este arquivo é na verdade uma imagem criptografada do disco rígido que pode ser montada em /mnt/ (por exemplo).
Para fazer backup, você desmontaria o volume TrueCrypt e simplesmente faria backup do arquivo contêiner.
TrueCrypt é muito robusto. Nós o usamos há anos em sistemas de arquivos muito grandes. Você também pode usar seu programa de linha de comando para criar scripts.
Responder2
Para avaliar suas soluções:
Solução 1: Vaza muitas informações sobre os dados do HD (nomes e tamanhos de arquivos...)
Solução 2: Requer um FS criptografado e módulos de kernel em ambas as extremidades. Lidar com discos totalmente criptografados normalmente não é tão divertido.
Solução 3: você não sabe quão boa é a cifra que você compra. Uma boa criptografia é cara e as implementações de HW para HD costumam ser terrivelmente quebradas e/ou lentas. Você não pode copiar o backup sem uma senha (quebra um dos seus requisitos).
Minha sugestão seria usar dm-crypt ou Truecrypt e criar uma imagem de disco para montagem em loopback. Ao salvar os dados na imagem você terá que digitar sua senha, mas poderá copiar o arquivo sem usar senha. No entanto, você precisará de uma senha para descriptografar o backup.
dm-crypt deve, em qualquer hardware moderno, ser mais rápido que o seu HD.
Responder3
Eu definitivamente recomendaria o TrueCrypt também. Acabou de ser lançada a versão 7, que acelera enormemente o tempo de criptografia. Você também pode criar um Disco Travelers. Isso basicamente criptografa o disco, mas permite que ele seja usado em qualquer PC, independentemente de ter o Truecrypt instalado. Muito conveniente. Isso pode ser configurado para montar manualmente ou montar automaticamente o disco criptografado, dependendo de sua preferência.