Вот сценарий. У меня есть локальный сервер в офисе, резервную копию которого я хочу делать программно (с помощью скрипта bash) каждый день на внешний жесткий диск, который я принесу домой.
Данные на жестком диске должны быть зашифрованы.
Я вижу три возможных решения этой проблемы и хочу узнать ваше мнение о том, какое из них лучше всего подойдет в моем случае.
решение 1: зашифруйте каждый файл с помощью скрипта резервного копирования перед его копированием на жесткий диск
решение 2: зашифровать весь том на HD
решение 3: купите внешний жесткий диск, который поддерживает аппаратное шифрование
Мои цели:
* решение должно быть простым в реализации
* мне нужно иметь возможность копировать всю резервную копию на жесткий диск без вмешательства человека (только с помощью скрипта)
* мне нужно иметь возможность читать резервную копию на жестком диске программным способом (человек не должен вводить пароль)
* расшифровка файлов должна быть достаточно быстрой
* резервная копия, записанная на жесткий диск, должна быть максимально надежной
Спасибо заранее, Даниэль
решение1
Я бы посоветовал использовать TrueCrypt. Вы бы создали один большой файл-"контейнер" на внешнем жестком диске. Этот файл на самом деле является зашифрованным образом жесткого диска, который можно смонтировать в /mnt/ (например).
Чтобы создать резервную копию, вам нужно будет размонтировать том TrueCrypt, а затем просто создать резервную копию файла-контейнера.
TrueCrypt очень надежен. Мы использовали его в течение многих лет на очень больших файловых системах. Вы также можете использовать его командную строку для написания скриптов.
решение2
Чтобы оценить ваши решения:
Решение 1: Утечка большого количества информации о данных на жестком диске (имена файлов и размеры...)
Решение 2: Требует зашифрованной FS и модулей ядра на обоих концах. Работа с полностью зашифрованными дисками обычно не так уж и весела.
Решение 3: Вы не знаете, насколько хорош шифр, который вы покупаете. Хороший шифр стоит дорого, а аппаратные реализации для HD часто ужасно сломаны и/или медленные. Вы не можете скопировать резервную копию без пароля (нарушает одно из ваших требований).
Я бы посоветовал использовать dm-crypt или Truecrypt и создать образ диска для монтирования loop-back. При сохранении данных в образ вам придется ввести пароль, но вы можете скопировать файл без использования пароля. Однако вам понадобится пароль для расшифровки резервной копии.
dm-crypt на любом современном оборудовании должен работать быстрее, чем ваш жесткий диск.
решение3
Я бы определенно рекомендовал TrueCrypt. Версия 7 только что вышла, она значительно ускоряет время шифрования. Вы также можете создать Travellers Disk. Это по сути шифрует диск, но позволяет использовать его на любом ПК, независимо от того, установлен ли на нем TrueCrypt. Очень удобно. Его можно настроить на ручное или автоматическое монтирование зашифрованного диска в зависимости от ваших предпочтений.