Praktik terbaik untuk membuat cadangan perangkat terenkripsi LUKS

15

Apa metode tercepat untuk mencadangkan dan mengembalikan perangkat terenkripsi (mis. Perangkat usb terenkripsi lengkap ke file gambar).

Perangkat usb dapat didekripsi / diakses . Saya mencari solusi untuk me-mount gambar cadangan sebagai file (terenkripsi). Apakah ini mungkin?

Tetap sederhana, bodoh.

mate64
sumber
Apakah Anda ingin membuat cadangan hanya file atau seluruh perangkat sebagai gambar? Haruskah cadangan dienkripsi / dikompresi / ...? Di mana Anda ingin menyimpan cadangan?
jofel
@jofel Perangkat-usb dapat didekripsi / diakses . Saya mencari solusi untuk me-mount gambar cadangan sebagai file (terenkripsi). Apakah ini mungkin?
mate64

Jawaban:

10

cryptsetupmenangani file gambar dan juga memblokir perangkat, jika itu adalah pertanyaan Anda. Jadi jika Anda membuat ddgambar (yang akan sangat besar) itu akan berhasil. Dan jika tidak, Anda bisa membuat perangkat loop sendiri.

Praktik terbaik (jika Anda ingin menyimpan cadangan terenkripsi) adalah dengan mengenkripsi juga cadangan disk, kemudian buka kedua wadah, kemudian jalankan solusi cadangan apa pun yang Anda pilih seperti halnya dengan sistem file yang tidak dienkripsi. Ini tidak akan menjadi metode tercepat karena akan mendekripsi data dari disk sumber dan kemudian mengenkripsi ulang untuk disk cadangan. Di sisi lain itu memungkinkan untuk solusi cadangan tambahan, jadi itu masih harus mengalahkan rata-rata penciptaan-dd.

Jika Anda ingin menempel dd, satu-satunya cara untuk membuat sesuatu yang lebih cepat daripada ddakan menjadi partimagemacam yang mengambil LUKS header dan offset ke account, sehingga hanya akan menyimpan data dienkripsi yang sebenarnya digunakan oleh filesystem.

Jika disk sumber adalah SSD dan Anda mengizinkan TRIM di dalam LUKS, dan SSD menunjukkan daerah yang dipangkas sebagai nol, Anda mendapatkan perilaku ini secara gratis dd conv=sparse. Itu masih bukan sesuatu yang saya rekomendasikan.

frostschutz
sumber
+1 Jawaban luar biasa , Anda adalah maestro gnu / linux nyata !
mate64
7

Metode paling sederhana adalah membuat sistem cadangan independen dari sistem enkripsi. Buat volume terenkripsi untuk cadangan. Pasang volume asli dan volume cadangan, dan jalankan perangkat lunak cadangan tingkat sistem file favorit Anda.

Selain kesederhanaan, keuntungan dari metode ini adalah bahwa volume cadangan tidak harus memiliki ukuran dan konten yang sama seperti aslinya. Anda dapat mencadangkan ke subdirektori, Anda dapat membuat cadangan tambahan, dll.

Ada juga sedikit keuntungan keamanan. Jika penyerang mengambil cadangan Anda dan menemukan kata sandi Anda, dan volume cadangan adalah salinan langsung dari volume yang dienkripsi, Anda harus melakukan enkripsi ulang volume asli. Jika volume cadangan dienkripsi secara independen, itu cukup untuk mengubah kata sandi pada volume asli.

Gilles 'SO- berhenti menjadi jahat'
sumber
4

Apa yang saya lakukan

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
Eero Aaltonen
sumber