Prática recomendada para fazer backup de um dispositivo criptografado LUKS

Question

Prática recomendada para fazer backup de um dispositivo criptografado LUKS

#1 resposta do (6 votos)
#2 resposta do (5 votos)
#3 resposta do (4 votos)

14

Qual é o método mais rápido para backup e restaurar um luks dispositivo criptografado (por exemplo, um dispositivo usb criptografado completo para um arquivo de imagem).

O dispositivo usb pode ser descriptografado / acessado . Eu estou procurando uma solução para montar a imagem de backup como um arquivo (criptografado). Pode ser possível?

Mantenha tudo simples, estúpido.

backup usb encryption luks linux

por mate64 20.11.2013 / 10:19

3 respostas

5

O método mais simples é tornar o sistema de backup independente do sistema de criptografia. Crie um volume criptografado para o backup. Monte o volume original e o volume de backup e execute seu software de backup em nível de sistema de arquivos favorito.

Além da simplicidade, uma vantagem com esse método é que o volume de backup não precisa ter o mesmo tamanho e conteúdo do original. Você pode fazer backup em um subdiretório, fazer backups incrementais, etc.

Existe também uma ligeira vantagem de segurança. Se um invasor pegar seu backup e encontrar sua senha, e o volume de backup for uma cópia direta do volume criptografado, será necessário criptografar novamente o volume original. Se o volume de backup for criptografado independentemente, basta alterar a senha no volume original.

por 21.11.2013 / 02:49

4

O que eu fiz

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>

por 20.11.2013 / 14:02

Tags backup usb encryption luks linux

Como montar um disco do sistema de ataque destruído? Existe um comando que forçará o Linux a limpar o cache de um arquivo em um compartilhamento NFS?

score 6 · Accepted Answer

cryptsetup lida com arquivos de imagem tão bem quanto bloqueia dispositivos, se essa foi a sua pergunta. Então, se você fizer uma imagem dd (que será enorme), ela funcionará. E se isso não acontecesse, você poderia criar o dispositivo de loop por conta própria.

A melhor prática (se você quiser manter o backup criptografado) é criptografar o disco de backup também, abra os dois contêineres e execute qualquer solução de backup de sua escolha, como faria com sistemas de arquivos não criptografados. Não será o método mais rápido, pois descriptografaria os dados do disco de origem e criptografaria-os novamente para o disco de backup. Por outro lado, permite soluções de backup incrementais, por isso, deve ainda bater a criação da imagem dd em média.

Se você quiser ficar com dd , a única maneira de fazer algo mais rápido do que dd seria um partimage de classificações que levam o cabeçalho e o deslocamento do LUKS em conta, para armazenar apenas os dados criptografados está realmente em uso pelo sistema de arquivos.

Se o disco de origem for um SSD e você permitir TRIM dentro do LUKS, e o SSD mostrar regiões aparadas como zeros, você obterá esse comportamento gratuitamente com dd conv=sparse . Ainda não é algo que eu recomendaria, no entanto.