web-dev-qa-db-ja.com

LinuxとFreeBSDの両方で読み取り可能な暗号化されたバックアップ

私はLinuxとFreeBSDコンピュータを持っており、どちらも暗号化されています(それぞれLUKSとgeli)。暗号化され、両方が読み取れるバックアップを作成する方法を考えています(一方のコンピューターに障害が発生した場合、もう一方のコンピューターを使用してデータをすばやく回復できるようにします)。

残念ながら、ボットLUKSとgeliは、それぞれの他のシステムに移植されたことがない、それぞれのシステムのカーネルモジュールのようです。 BSD/Linux互換のファイルシステムに対するいくつかの脅威から判断すると、両方が読み取れる暗号化されていないバックアップを作成することは十分に難しいようです(ext2は明らかにこれを可能にするファイルシステムの唯一のオプションです)。

だから私の考えは、Linuxで仮想FreeBSDをセットアップすることでした 'KVMこれはgeli暗号化された外部ディスクを読み書きし、Linux内の暗号化されていない仮想ext2ボリュームにデータを転送することができますLUKSで暗号化されたファイルシステム(およびその逆)。ただし、これは非常に複雑に見え、実際には正しい方法とは思えません。

より良い/より簡単な/より好ましい方法はありますか?それとも、上記で説明した方法が現在可能な限り最良のオプションですか?

ありがとう;私はその問題についての考えに感謝します。

linuxencryptionfreebsddisk-encryption
8
0range

いくつかの仮定を立てましょう。それらが正しくない場合はコメントしてください。

  1. 異なるオペレーティングシステム、および潜在的に異なるプラットフォームでマシンを実行します。
  2. linuxとFreeBSDの2台のマシンの場合について説明します
  3. お使いのマシンは暗号化されたファイルシステムを使用しています
  4. データのバックアップを作成し、それらのバックアップも暗号化する必要があります
  5. アーカイブに貢献しているプラ​​ットフォームのいずれかから、暗号化されたバックアップのデータにアクセスできるようにする必要があります

(暗号化の形式を区別するためにコメントが追加されました)

存続しているマシンから、他のシステムデータにアクセスできるようにしたいとおっしゃっています。 1つの方法は、暗号化されていないバックアップをローカルマシンの暗号化されたファイルシステムに保存することです。もう1つは、暗号化されたバックアップを、暗号化されていないファイルシステムのローカルマシンに保存することです。暗号化されていないファイルシステムに、暗号化されたバックアップを保存することをお勧めします。

ただし、余談ですが、暗号化されたバックアップには常に懸念があります。キーには注意が必要です。部分的な破損は通常、バックアップ全体を強制終了します。

私の提案:使用

両方のマシンがアクセスできる1つまたは複数のコンテナへのバックアップを作成します。

すべてをLAN内に保持するには、次のことができます。

  1. 暗号化されたバックアップ「パッケージ」を保存するために、両方のホストに「バックアップ」ファイルシステムを作成します。保存されているバックアップ「パッケージ」(クラックアップでは「チャンク」と呼ばれます)が暗号化されるため、暗号化されたファイルシステムである必要はありません。
  2. これらのファイルシステムをエクスポートします。 NFSを使用して、他のホストにそれぞれマウントします
  3. バックアップを作成するときは、それらをローカルファイルシステムにダンプし、他のホストのNFSマウントディレクトリにミラーリングします。これには、バックアップファイルのインスタンスが2つあるという素晴らしい副作用があります。

これで、サーバー上に次のファイルシステムが作成されます。

linuxマシンのTuxでは:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

beastieでは、FreeBSDマシン:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
Tux:/tuxdump        /tuxdump    # NFS backup destination

バックアップする必要のあるデータの量に応じて、どのクラウドプロバイダーでも行うオフサイトコンテナについて考えることもできます。私は現在、古いものがGlacierに古くなるように、S3コンテナーを構成することで遊んでいます。これは、非常に有望で、価格的に見えます。

3
Florenz Kley

Duplicity -このタスクに最適なツールで、暗号化にGPGを使用します。私はしばらくそれを使用しています、そして私は本当にお勧めします。

別の方法として、次のことを試すことができます。

  • obnam -は新しいプロジェクトですが、いくつかの優れた機能があります(ssh/scpを使用すると少し遅くなります)
  • げっぷ -パスワードによる暗号化
2
spinus

TrueCryptはLinuxとFreeBSDの両方で動作するはずです。私は定期的にTrueCryptをWindowsでのみ使用しており、FreeBSDTruecryptを自分で試したことはありません。 YMMV。

2
Mikhail Kupchik

他のマシンのハードドライブで通常のrsyncを使用して、マシンのファイルをバックアップできます。とにかくローカル暗号化を使用しているので、ローカルシステム暗号化で暗号化され、送信はTLSによって保護されます。更新は高速で、実績のある暗号化とバックアップのメカニズムに固執します。

信頼できないシステムでファイルをバックアップする必要がある場合は、プレーンGPGが適切に機能しました。私はPythonで暗号化とFTP転送を自動化しましたが、これはすでに2年間うまく機能しています。

1
Michael