verschlüsselte Backups für Linux und FreeBSD für beide lesbar

8

Ich habe einen Linux- und einen FreeBSD-Computer, beide verschlüsselt (LUKS bzw. geli). Ich frage mich, wie man Backups erstellt, die ebenfalls verschlüsselt und für beide lesbar sind (sodass ich bei einem Ausfall eines Computers die Daten mit dem anderen schnell wiederherstellen kann).

Leider scheinen Bot LUKS und Geli Kernelmodule für die jeweiligen Systeme zu sein, die noch nie auf das jeweilige andere portiert wurden. Angesichts der verschiedenen Bedrohungen für BSD / Linux-kompatible Dateisysteme scheint es schwierig genug zu sein, unverschlüsselte Backups zu erstellen, die für beide lesbar sind (ext2 ist anscheinend die einzige Option für ein Dateisystem, das dies zulässt).

Meine Gedanken waren also, eine virtuelle FreeBSD in der Linux-KVM einzurichten, die eine geli-verschlüsselte externe Festplatte lesen und schreiben und die Daten auf ein unverschlüsseltes virtuelles ext2-Volume im Linux-LUKS-verschlüsselten Dateisystem übertragen kann (und umgekehrt) um). Dies scheint jedoch furchtbar kompliziert zu sein und scheint nicht wirklich der richtige Weg zu sein, dies zu tun.

Gibt es bessere / einfachere / bevorzugtere Wege? Oder ist der oben erläuterte Weg derzeit die bestmögliche Option?

Vielen Dank; Ich schätze alle Gedanken zu diesem Thema.

linux encryption freebsd disk-encryption 0Bereich
quelle
2
Der einzige Gedanke , den ich auf dieser Liste en.wikipedia.org/wiki/… sehe , der auf beiden unterstützt wird, ist eCryptFS en.wikipedia.org/wiki/ECryptfs, es ist jedoch keine Verschlüsselung auf Blockebene . Es ist eine Dateisystemschicht.
Zoredache
1
Ich würde eher eine andere Box mit meinem Lieblingsbetriebssystem einrichten, um die Backups bereitzustellen und zu speichern.
Ярослав Рахматуллин
Vielen Dank an Sie beide für Ihre Gedanken. Ich hoffe, dass irgendwann in der Zukunft jemand LUKS auf FreeBSD oder geli auf Linux portieren wird (mir fehlen leider sowohl die erforderlichen Programmierkenntnisse /
-erfahrungen

Antworten:

3

Lassen Sie uns einige Annahmen treffen. Kommentieren Sie, wenn diese nicht korrekt sind.

  1. Sie führen Maschinen mit unterschiedlichen Betriebssystemen und möglicherweise unterschiedlichen Plattformen aus.
  2. Sie beschreiben es für den Fall mit 2 Maschinen und Linux und FreeBSD
  3. Ihre Computer verwenden verschlüsselte Dateisysteme
  4. Sie möchten Sicherungen Ihrer Daten erstellen und möchten, dass diese Sicherungen auch verschlüsselt werden
  5. Sie möchten von jeder der Plattformen, die zum Archiv beitragen, auf Daten in diesen verschlüsselten Sicherungen zugreifen können

(Kommentar hinzugefügt, um zwischen Verschlüsselungsformen zu unterscheiden)

Sie erwähnen, dass Sie von der überlebenden Maschine aus auf die anderen Systemdaten zugreifen möchten. Eine Möglichkeit könnte darin bestehen, unverschlüsselte Sicherungen auf dem lokalen Computer im verschlüsselten Dateisystem zu speichern. Eine andere Möglichkeit besteht darin, verschlüsselte Sicherungen auf dem lokalen Computer in einem nicht verschlüsselten Dateisystem zu speichern. Ich empfehle, verschlüsselte Backups auf nicht verschlüsselten Dateisystemen zu speichern.

Abgesehen davon - es gibt immer Bedenken hinsichtlich verschlüsselter Sicherungen: - Sie müssen wirklich vorsichtig mit dem Schlüssel sein - teilweise Beschädigung tötet normalerweise die gesamte Sicherung

mein vorschlag: verwenden

Um Backups für einen oder mehrere Container zu erstellen, können beide Computer darauf zugreifen.

Um alles in Ihrem LAN zu behalten, können Sie:

  1. Erstellen Sie auf beiden Hosts ein "Backup" -Dateisystem, um die verschlüsselten Backup- "Pakete" zu speichern. Es muss kein verschlüsseltes Dateisystem sein, da die darauf gespeicherten Backup- "Pakete" (Brackup nennt sie "Chunks") verschlüsselt werden
  2. Exportieren Sie diese Dateisysteme, z. B. mit NFS, und hängen Sie sie auf den anderen Hosts an
  3. Wenn Sie Sicherungen erstellen, sichern Sie diese im lokalen Dateisystem und spiegeln Sie sie in das NFS-gemountete Verzeichnis auf dem anderen Host. Dies hat den schönen Nebeneffekt, dass zwei Instanzen Ihrer Sicherungsdateien vorhanden sind.

Sie haben jetzt die folgenden Dateisysteme auf Ihren Servern:

unter tux Ihr Linux-Rechner:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

auf Beastie, du FreeBSD-Maschine:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

Abhängig von der Datenmenge, die Sie sichern müssen, können Sie auch an einen externen Container denken, den jeder Cloud-Anbieter tun würde. Ich spiele gerade damit, meine S3-Container so zu konfigurieren, dass alte Sachen zu Glacier verfallen, was preislich sehr vielversprechend aussieht.

Florenz Kley
quelle
nicht genau. Ich brauche es nicht Block für Block und ich brauche es nicht über das Netzwerk (obwohl die von Ihnen vorgeschlagenen Tools sehr interessant erscheinen). Das Problem ist eher (wie es von Zoredache und Ярослав Рахматуллин richtig verstanden wurde), dass ich einen Weg brauche, um auf die Backups zuzugreifen, wenn eines der Systeme aus irgendeinem Grund ausfällt. Daher sollten die Sicherungen auf einem verschlüsselten Dateisystem (auf einer anderen Festplatte) gespeichert werden, auf das beide Systeme zugreifen können. Dies stellt ein Problem dar, da sowohl die nativen Verschlüsselungssysteme als auch die nativen Dateisysteme von Linux und freebsd nicht kompatibel sind. Entschuldigung, dass Sie nicht früher geantwortet haben.
0range
Oh, und ich sollte erwähnen, dass einige dieser Tarballs für mich als meinen PGP-Adressaten nur manuell verschlüsselt werden. Bei intelligenteren Setups werden später zwei Dateien verwendet, ein Archiv mit einem symmetrischen Schlüssel und der mit PGP verschlüsselte Schlüssel, beide in einem weiteren Tarball, damit Dateien bei der Übertragung nicht verloren gehen. Nichts davon ist so gut automatisiert wie die genannten Skripte, aber es hat den Job gemacht.
Florenz Kley
Ich habe noch nie von Duplizität gehört, aber es klingt genau so, wie ich es suche! Weißt du wie alt es ist? Ist es stabil? Ich kann keine Daten finden, an denen das Projekt gestartet wurde.
cnst
Duplicity [ duplicity.nongnu.org] gibt es seit 2002, ich benutze es seit ca. 2004.
Florenz Kley
@ 0range - hat die Unterscheidung "Verschlüsselung" etwas aufgeräumt. Was ich vorschlage, ist nicht Block für Block, sondern dateibasiert. Schlagen Sie vor, unverschlüsselte Dateisysteme zu verwenden, da diese von beiden Systemen gelesen werden können. Speichern Sie verschlüsselte Backups auf diesen, auch sie können auf beiden Plattformen von den jeweiligen nativen Tools gelesen werden. Dies sollte sowohl Ihre Anforderungen als auch Ihre Verschlüsselung und Lesbarkeit auf beiden Plattformen erfüllen.
Florenz Kley
2

Duplizität - ein großartiges Tool für diese Aufgabe, verwendet GPG zur Verschlüsselung. Ich benutze es seit einiger Zeit und kann es nur empfehlen.

Als Alternative können Sie versuchen:

  • obnam - ist ein neues Projekt, hat aber einige nette Funktionen (es ist etwas langsam, wenn es über ssh / scp verwendet wird)
  • Rülpsen - Verschlüsselung mit Passwort
Spinus
quelle
siehe meinen Kommentar zu Florenz Kleys Antwort oben. (und danke, dass Sie diese Tools vorgeschlagen haben)
0range
Entschuldigung, ich konnte hier nur einen Kommentar hinzufügen. Diese Tools sind nicht blockweise, sondern FS (Sie können FS sichern und sogar unter Windows wiederherstellen). GPG ist ein Standard für die Verschlüsselung - es funktioniert auch auf beiden. Diese Programme sind nicht nur Netzwerk, Sie können dir in dir sichern. Mit Duplizität können Sie also beide Computer sichern und verschlüsselte Backups überall dort wiederherstellen, wo Sie Duplizität und GPG-Schlüssel haben.
Spinus
2

TrueCrypt sollte sowohl unter Linux als auch unter FreeBSD funktionieren. Obwohl ich TrueCrypt regelmäßig nur unter Windows verwende und FreeBSD Truecrypt nicht selbst ausprobiert habe. YMMV.

Mikhail Kupchik
quelle
1

Sie können die Dateien Ihrer Computer mit der normalen rsyncFestplatte der anderen Computer sichern . Da Sie sowieso lokale Verschlüsselung verwenden, wird diese mit der Verschlüsselung des lokalen Systems verschlüsselt und die Übertragung wird durch TLS gesichert. Updates sind schnell und Sie halten an bewährten Verschlüsselungs- und Sicherungsmechanismen fest.

Wenn Sie nur Dateien auf einem nicht vertrauenswürdigen System sichern müssen, hat einfaches GPG für mich gut funktioniert. Ich habe einige Verschlüsselungs- und FTP-Übertragungen mit Python automatisiert, die bereits seit zwei Jahren einwandfrei funktionieren.

Michael
quelle