В моем ноутбуке есть следующие материалы:
- 20ГиБ SSD
- 500GiB HDD (Диск A)
- Внешний жесткий диск (диск B)
Что я хочу :
- Мой Linux (Debian 9) зашифрован на уровне разделов (которыми я управляю), с классическим разделением (root-var-home-tmp-boot) на SSD.
- Резервная копия. Я не совсем уверен, как я хочу, в идеале с некоторым версионированием, но с зашифрованным разделом, что означало бы синхронизацию на уровне файловой системы, а затем шифрование резервной копии.
На данный момент лучшим решением, которое я видел, была реализация RAID 1 ( mdadm --> LUKS --> LVM --> ext4
) или использование rsync
или dd
.
Кажется, mdadm
это лучший способ достичь того, что я хочу, из-за шифрования, и что использование dd
на живом разделе может вызвать проблемы. Но это означает, что мне придется постоянно использовать диск A с томом 120GiB, а диск B как дополнительный диск, который будет моей настоящей резервной копией.
Так есть ли лучший способ? Я чувствую, что должен быть, в конце концов, что я действительно хотел бы, это что-то вроде dd всего диска, что можно было бы сделать при загрузке перед расшифровкой или при выключении. Это было бы даже лучше для восстановления, потому что я хочу защитить большую часть от повреждения системы.
Является ли использование решения, похожего rsync
или dd
лучшего для производительности, даже если это означает повторное шифрование? Будет ли простой способ восстановиться из чистой резервной копии, если вся система повреждена?
Любые предложения приветствуются.
Спасибо!
решение1
При условии, что вы используете шифрование AES, а ваш ноутбук поддерживает aes-ni (почти все современные процессоры x86 поддерживают), шифрование и дешифрование не требуют больших затрат. Лучшим вариантом, вероятно, будет использование rsnapshot для зашифрованного диска. Rsnapshot использует rsync и символические ссылки для обеспечения простого управления версиями, дублируя только измененные файлы, и может даже выполняться удаленно по ssh (то есть это может быть автоматизировано и ограничено пропускной способностью для минимизации влияния на производительность). Если вы используете локальный съемный диск, вы можете хранить файл ключа для зашифрованного съемного диска в основной системе (то есть, чтобы он был доступен только после расшифровки основного диска), и сделать это довольно незаметно — просто убедитесь, что у вас есть резервная копия ключа и/или вторая альтернативная парольная фраза.