Prática recomendada para fazer backup de um dispositivo criptografado LUKS

15

Qual é o método mais rápido para fazer backup e restaurar um dispositivo criptografado (por exemplo, um dispositivo USB criptografado completo em um arquivo de imagem).

O dispositivo usb pode ser descriptografado / acessado . Estou procurando uma solução para montar a imagem de backup como um arquivo (criptografado). Isso pode ser possível?

Mantenha simples, idiota.

mate64
fonte
Deseja fazer backup apenas dos arquivos ou de todo o dispositivo como uma imagem? O backup deve ser criptografado / compactado / ...? Onde você deseja armazenar o backup?
Jofel
@jofel o USB-dispositivo pode ser descriptografado / acessado . Estou procurando uma solução para montar a imagem de backup como um arquivo (criptografado). Isso pode ser possível?
mate64

Respostas:

10

cryptsetuplida com arquivos de imagem e bloqueia dispositivos, se essa foi sua pergunta. Então, se você criar uma ddimagem (que será enorme demais), ela funcionará. E se não, você pode criar o dispositivo de loop sozinho.

A melhor prática (se você deseja manter o backup criptografado) é criptografar também o disco de backup, abra os dois contêineres e execute qualquer solução de backup de sua escolha, como faria com sistemas de arquivos não criptografados. Não será o método mais rápido, pois descriptografa os dados do disco de origem e depois os criptografa novamente no disco de backup. Por outro lado, ele permite soluções de backup incrementais, por isso ainda deve superar a criação da imagem dd em média.

Se você preferir dd, a única maneira de tornar algo mais rápido do que ddseria uma partimageespécie que leve em consideração o cabeçalho LUKS e o offset, portanto, ele armazenaria apenas os dados criptografados que são realmente usados ​​pelo sistema de arquivos.

Se o disco de origem é um SSD e você permite TRIM dentro do LUKS, e o SSD mostra regiões cortadas como zeros, você obtém esse comportamento gratuitamente dd conv=sparse. Ainda não é algo que eu recomendo.

frostschutz
fonte
+1 Excelente resposta , você é um verdadeiro mestre em gnu / linux !
mate64
7

O método mais simples é tornar o sistema de backup independente do sistema de criptografia. Crie um volume criptografado para o backup. Monte o volume original e o volume de backup e execute seu software de backup no nível de sistema de arquivos favorito.

Além da simplicidade, uma vantagem desse método é que o volume de backup não precisa ter o mesmo tamanho e conteúdo que o original. Você pode fazer backup em um subdiretório, fazer backups incrementais etc.

Há também uma pequena vantagem de segurança. Se um invasor pegar seu backup e encontrar sua senha, e o volume de backup for uma cópia direta do volume criptografado, será necessário re-criptografar o volume original. Se o volume de backup for criptografado independentemente, basta alterar a senha no volume original.

Gilles 'SO- parar de ser mau'
fonte
4

O que eu fiz

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
Eero Aaltonen
fonte