GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Best Practice zum Sichern eines LUKS-verschlüsselten Geräts

cryptsetup verarbeitet Bilddateien genauso gut wie Blockgeräte, falls das Ihre Frage war. Wenn Sie also eine dd machen Bild (das verdammt riesig sein wird), es wird funktionieren. Und wenn nicht, könnten Sie das Loop-Gerät einfach selbst erstellen.

Best Practice (wenn Sie das Backup verschlüsselt halten möchten) ist es, auch die Backup-Festplatte zu verschlüsseln, dann beide Container zu öffnen und dann eine beliebige Backup-Lösung Ihrer Wahl auszuführen, wie Sie es mit unverschlüsselten Dateisystemen tun würden. Dies ist nicht die schnellste Methode, da Daten von der Quellfestplatte entschlüsselt und dann für die Sicherungsfestplatte neu verschlüsselt werden. Auf der anderen Seite ermöglicht es inkrementelle Backup-Lösungen, also sollte es immer noch die DD-Image-Erstellung im Durchschnitt schlagen.

Wenn Sie bei dd bleiben möchten , die einzige Möglichkeit, etwas schneller als dd zu machen wäre ein partimage Art, die LUKS-Header und -Offset berücksichtigt, sodass nur die verschlüsselten Daten gespeichert werden, die tatsächlich vom Dateisystem verwendet werden.

Wenn die Quellfestplatte eine SSD ist und Sie TRIM innerhalb von LUKS zulassen und die SSD getrimmte Bereiche als Nullen anzeigt, erhalten Sie dieses Verhalten kostenlos mit dd conv=sparse . Trotzdem würde ich es nicht empfehlen.


Die einfachste Methode besteht darin, das Sicherungssystem vom Verschlüsselungssystem unabhängig zu machen. Erstellen Sie ein verschlüsseltes Volume für die Sicherung. Hängen Sie sowohl das Originalvolume als auch das Sicherungsvolume ein und führen Sie Ihre bevorzugte Sicherungssoftware auf Dateisystemebene aus.

Neben der Einfachheit besteht ein Vorteil dieser Methode darin, dass das Backup-Volume nicht die gleiche Größe und den gleichen Inhalt wie das Original haben muss. Sie können in ein Unterverzeichnis sichern, inkrementelle Sicherungen erstellen usw.

Es gibt auch einen sehr kleinen Sicherheitsvorteil. Wenn ein Angreifer sich Ihr Backup schnappt und Ihr Passwort findet und das Backup-Volume eine direkte Kopie des verschlüsselten Volumes ist, müssen Sie das ursprüngliche Volume erneut verschlüsseln. Wenn das Sicherungsvolume unabhängig verschlüsselt ist, reicht es aus, das Passwort auf dem Originalvolume zu ändern.


Was ich getan habe

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>

Linux

  1. 7 Best-Practice-Tipps für die Verwaltung von Remote-Teams

  2. Wie führt man eine rsync-ähnliche verschlüsselte Sicherung durch?

  3. Best Practice für Zugriffsberechtigungen für Benutzer für Apache Tomcat

  4. Beste Reihenfolge von RAID, LVM und LUKS

  5. Wie entferne ich die LUKS-Verschlüsselung?

Erstellen einer Sicherung von Daten, die in einer virtuellen Linux-Maschine gespeichert sind

Sichern Sie Ihren Apache-Webserver Best Practice

Sicherung und Wiederherstellung von LVM-Snapshots unter Linux

Welches lokale Backup-Tool ist das beste unter Linux?

CentOS / RHEL:So löschen Sie ein LUKS-verschlüsseltes Gerät

Die 15 besten Backup-Software für Linux-Desktop