我有一台 Linux 和一台 FreeBSD 計算機,兩者都經過加密(分別為 LUKS 和 geli)。我想知道如何製作既加密又對兩台電腦都可讀的備份(這樣,如果其中一台電腦發生故障,我可以使用另一台電腦快速恢復資料)。
不幸的是,bot LUKS 和 geli 似乎是各自系統的核心模組,從未被移植到各自的另一個系統上。從 BSD/Linux 相容檔案系統上的幾個威脅來看,製作雙方都可讀的未加密備份似乎非常困難(ext2 顯然是允許這樣做的檔案系統的唯一選擇)。
所以我的想法是在Linux 的KVM 中設定一個虛擬FreeBSD,它能夠讀取和寫入geli 加密的外部磁碟,並將資料傳輸到Linux 的LUKS 加密檔案系統內的未加密的虛擬ext2 磁碟區(反之亦然)大約)。然而,這看起來非常複雜,而且並不是真正的正確方法。
有沒有更好/更簡單/更優選的方法?或者上面解釋的方式是目前最好的選擇嗎?
謝謝;我很感激對此事的任何想法。
答案1
讓我們建立幾個假設。如果這些不正確,請發表評論。
- 您運行具有不同作業系統以及可能不同平台的機器。
- 你描述的是有 2 台機器、Linux 和 FreeBSD 的情況
- 你的機器使用加密的檔案系統
- 您想要建立資料備份,也希望對這些備份進行加密
- 您希望能夠從任何參與存檔的平台存取這些加密備份中的數據
(新增註釋以區分加密形式)
您提到您希望能夠從倖存的電腦存取其他系統資料。一種方法是將未加密的備份儲存在本機的加密檔案系統上。另一種可能是將加密備份儲存在本機電腦上未加密的檔案系統上。我建議在未加密的檔案系統上儲存加密的備份。
然而,順便說一句 - 加密備份總是令人擔憂: - 您確實需要小心金鑰 - 部分損壞通常會殺死整個備份
我的建議:使用
為兩台機器都可以存取的一個或多個容器建立備份。
若要將其全部保留在 LAN 內,您可以:
- 在兩台主機上建立一個「備份」檔案系統,以儲存加密的備份「包」。它不需要加密的檔案系統,因為儲存在其中的備份「包」(brackup 稱之為「區塊」)將被加密
- 匯出這些檔案系統,例如使用 NFS,並將其分別掛載到其他主機上
- 建立備份時,將它們轉儲到本機檔案系統,並將它們鏡像到另一台主機上的 NFS 安裝目錄。這有一個很好的副作用,即擁有兩個備份檔案實例。
現在您的伺服器上將擁有以下檔案系統:
在 tux 上,您的 Linux 機器:
/dev/foo / # encrypted filesystem
/dev/bar /tuxdump # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination
在 bestie,你的 FreeBSD 機器上:
/dev/flurb / # encrypted filesystem
/dev/baz /daemondump # unencrypted filesystem, local backup
tux:/tuxdump /tuxdump # NFS backup destination
根據您需要備份的資料量,您也可以考慮使用異地容器,任何雲端提供者都可以這樣做。我目前正在嘗試配置我的 S3 容器,以便舊的東西可以老化到 Glacier,從價格角度來看,這看起來非常有前途。
答案2
答案3
TrueCrypt 應該可以在 Linux 和 FreeBSD 下運作。雖然我經常只在 Windows 下使用 TrueCrypt,而且我自己還沒有嘗試過 FreeBSD Truecrypt。 YMMV。
答案4
rsync您可以使用其他機器上的普通硬碟備份您機器上的檔案。由於您無論如何都使用本機加密,因此它是使用本機系統加密進行加密的,並且傳輸受到 TLS 的保護。更新速度很快,您可以堅持使用經過充分驗證的加密和備份機制。
如果您只需在某些不受信任的系統上備份文件,普通 GPG 對我來說效果很好。我用 python 自動化了一些加密和 FTP 傳輸,它已經運作良好兩年了。