web-dev-qa-db-ja.com

LUKS暗号化デバイスをバックアップするためのベストプラクティス

最速の方法からまでバックアップして復元 luks 暗号化されたデバイス(たとえば、完全に暗号化されたUSBデバイスから画像ファイル)。

Usb-deviceはdecrypted/accessedにすることができます。バックアップイメージをファイルとして(暗号化して)マウントするソリューションを探しています。それは可能でしょうか?

シンプルに、愚かにしてください。

17
mate64

cryptsetupは、問題がある場合は、イメージファイルだけでなく、ブロックデバイスも処理します。したがって、ddイメージ(これは非常に巨大になります)を作成すると機能します。そうでない場合は、自分でループデバイスを作成できます。

ベストプラクティス(バックアップを暗号化したままにする場合)は、バックアップディスクも暗号化し、両方のコンテナーを開いて、暗号化されていないファイルシステムの場合と同様に、任意のバックアップソリューションを実行することです。ソースディスクからデータを復号化し、バックアップディスク用に再暗号化するため、これは最速の方法ではありません。一方で、増分バックアップソリューションを使用できるため、平均してdd-image-creationを上回ります。

ddに固執する場合、ddよりも高速なものを作成する唯一の方法は、LUKSヘッダーとオフセットを考慮したpartimageのソートであるので、ファイルシステムで実際に使用されている暗号化されたデータのみを保存します。

ソースディスクがSSDであり、LUKS内でTRIMを許可し、SSDがトリムされた領域をゼロとして表示する場合、dd conv=sparseを使用してこの動作を無料で取得できます。それでも、私がお勧めするものではありません。

11
frostschutz

最も簡単な方法は、バックアップシステムを暗号化システムから独立させることです。バックアップ用に暗号化されたボリュームを作成します。元のボリュームとバックアップボリュームの両方をマウントし、お気に入りのファイルシステムレベルのバックアップソフトウェアを実行します。

単純さのほかに、この方法の利点は、バックアップボリュームが元のボリュームと同じサイズと内容である必要がないことです。サブディレクトリにバックアップしたり、増分バックアップを作成したりできます。

非常にわずかなセキュリティ上の利点もあります。攻撃者がバックアップを取得してパスワードを見つけ、バックアップボリュームが暗号化されたボリュームの直接のコピーである場合、元のボリュームを再暗号化する必要があります。バックアップボリュームが個別に暗号化されている場合は、元のボリュームのパスワードを変更するだけで十分です。

私がしたこと

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
4
Eero Aaltonen