Linux 和 FreeBSD 的加密備份都可讀

Linux 和 FreeBSD 的加密備份都可讀

我有一台 Linux 和一台 FreeBSD 計算機,兩者都經過加密(分別為 LUKS 和 geli)。我想知道如何製作既加密又對兩台電腦都可讀的備份(這樣,如果其中一台電腦發生故障,我可以使用另一台電腦快速恢復資料)。

不幸的是,bot LUKS 和 geli 似乎是各自系統的核心模組,從未被移植到各自的另一個系統上。從 BSD/Linux 相容檔案系統上的幾個威脅來看,製作雙方都可讀的未加密備份似乎非常困難(ext2 顯然是允許這樣做的檔案系統的唯一選擇)。

所以我的想法是在Linux 的KVM 中設定一個虛擬FreeBSD,它能夠讀取和寫入geli 加密的外部磁碟,並將資料傳輸到Linux 的LUKS 加密檔案系統內的未加密的虛擬ext2 磁碟區(反之亦然)大約)。然而,這看起來非常複雜,而且並不是真正的正確方法。

有沒有更好/更簡單/更優選的方法?或者上面解釋的方式是目前最好的選擇嗎?

謝謝;我很感激對此事的任何想法。

答案1

讓我們建立幾個假設。如果這些不正確,請發表評論。

  1. 您運行具有不同作業系統以及可能不同平台的機器。
  2. 你描述的是有 2 台機器、Linux 和 FreeBSD 的情況
  3. 你的機器使用加密的檔案系統
  4. 您想要建立資料備份,也希望對這些備份進行加密
  5. 您希望能夠從任何參與存檔的平台存取這些加密備份中的數據

(新增註釋以區分加密形式)

您提到您希望能夠從倖存的電腦存取其他系統資料。一種方法是將未加密的備份儲存在本機的加密檔案系統上。另一種可能是將加密備份儲存在本機電腦上未加密的檔案系統上。我建議在未加密的檔案系統上儲存加密的備份。

然而,順便說一句 - 加密備份總是令人擔憂: - 您確實需要小心金鑰 - 部分損壞通常會殺死整個備份

我的建議:使用

為兩台機器都可以存取的一個或多個容器建立備份。

若要將其全部保留在 LAN 內,您可以:

  1. 在兩台主機上建立一個「備份」檔案系統,以儲存加密的備份「包」。它不需要加密的檔案系統,因為儲存在其中的備份「包」(brackup 稱之為「區塊」)將被加密
  2. 匯出這些檔案系統,例如使用 NFS,並將其分別掛載到其他主機上
  3. 建立備份時,將它們轉儲到本機檔案系統,並將它們鏡像到另一台主機上的 NFS 安裝目錄。這有一個很好的副作用,即擁有兩個備份檔案實例。

現在您的伺服器上將擁有以下檔案系統:

在 tux 上,您的 Linux 機器:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

在 bestie,你的 FreeBSD 機器上:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

根據您需要備份的資料量,您也可以考慮使用異地容器,任何雲端提供者都可以這樣做。我目前正在嘗試配置我的 S3 容器,以便舊的東西可以老化到 Glacier,從價格角度來看,這看起來非常有前途。

答案2

表裡不一- 完成此任務的絕佳工具,使用 GPG 進行加密。我已經使用它一段時間了,我真的推薦它。

作為替代方案,您可以嘗試:

  • 奧布南- 是一個新項目,但有一些不錯的功能(如果透過 ssh/scp 使用的話有點慢)
  • 打嗝- 使用密碼加密

答案3

TrueCrypt 應該可以在 Linux 和 FreeBSD 下運作。雖然我經常只在 Windows 下使用 TrueCrypt,而且我自己還沒有嘗試過 FreeBSD Truecrypt。 YMMV。

答案4

rsync您可以使用其他機器上的普通硬碟備份您機器上的檔案。由於您無論如何都使用本機加密,因此它是使用本機系統加密進行加密的,並且傳輸受到 TLS 的保護。更新速度很快,您可以堅持使用經過充分驗證的加密和備份機制。

如果您只需在某些不受信任的系統上備份文件,普通 GPG 對我來說效果很好。我用 python 自動化了一些加密和 FTP 傳輸,它已經運作良好兩年了。

相關內容