Creazione di un backup offsite sicuro a casa di un amico

Naviga le tue risposte
3

Un amico mi ha gentilmente permesso di conservare un disco rigido a casa sua da utilizzare come backup offsite. Di solito uso rsync-backup per fare i backup della mia home directory e ho sempre fatto questo (sono solo fortunato!) A 2 unità USB separate. È stato grandioso, ma la possibilità di un incendio in casa mi ha sempre terrorizzato. Il mio precedente lavoro mi ha permesso di tenere un disco in un cassetto della scrivania, ma non gli ho permesso di collegarlo alla rete. Era un tale dolore portarlo a casa ogni poche settimane e rsync quella pigrizia prevalso. La richiesta UNICA del mio amico è che l'unità sia crittografata, quindi non c'è alcuna possibilità di problemi di privacy - sia lui a leggere i miei file, sia che sia in qualche modo responsabile per tutto ciò che potrebbe essere sull'unità.

Ho cercato su Google un sacco su questo argomento, ma il problema è che la maggior parte delle procedure di crittografia dell'intero disco sono per un sistema operativo. Non è un'unità remota. Spero che qualcuno là fuori sappia come impostarlo in modo che (idealmente) un cron job possa essere eseguito a intervalli regolari di notte o forse settimanalmente, aggiornando tutto dal disco di casa mia a quello a casa sua. Ha un cavo ad alta velocità, quindi non dovrebbe essere problematico farlo e PRIMO fare il primo rsync a casa ... poi dargli il drive, lo installerà al suo posto e mi darà accesso tramite un server unico, e speriamo che le cose andranno da lì.

Grazie per l'aiuto di qualsiasi cosa con questo progetto. Se questo è facilmente risposta da qualche parte, per favore fatemi sapere dove - Ho fatto un sacco di ricerche e proprio non riesco a trovare le parole chiave giuste per ottenere le informazioni che voglio. Finisco solo per andare a pagine per fare volumi LUKS all'interno di un sistema operativo ... e io non capisco come sia questa la risposta oppure NON è la risposta.

Devo aggiungere che sto evitando le opzioni basate sul cloud a causa delle spese. Ho circa 6 TB di dati (sono un fotografo / operatore video che lavora con file di grandi dimensioni nel corso di decenni ...) e non posso permettermi le spese relative al tipico storage su cloud. Anche se potessi, vorrei sapere come garantire la crittografia dei dati e come fare i backup automatici regolari. Ma questa opzione di avere il mio disco rigido a casa di un amico sembra incredibile.

Ancora, grazie! : -)

    
posta user1149499 09.02.2016 - 17:37
fonte

2 risposte

3

Sembra che tu voglia uno strumento come duplicità , che carica i delta pre-criptati. Funziona con più backend (da ssh e sftp ad AWS) in modo che il tuo amico non abbia bisogno di eseguire Linux. Utilizzando uno strumento esistente non è necessario reinventare nulla (tranne forse per impostare il proprio cron job che può accedere a una chiave gpg per duplicare) e puoi riutilizzare questa soluzione con i provider cloud (non attendibili) per set più piccoli di dati o quando diventa più possibile caricare 6 TB di dati.

    
risposta data 09.02.2016 - 18:27
fonte
0

Idealmente, al fine di fornire piena negazione per il tuo amico, si cripterebbe alla fine e si invieranno solo i dati crittografati al sistema remoto. Ciò a sua volta potrebbe avere la crittografia completa del disco abilitata, ma sarebbe meno di un interruttore automatico.

Perché?

Immagina di inviare un'immagine al tuo backup. Il tuo amico ha accesso all'hardware, quindi potrebbe teoricamente prendere tutti i dati che arrivano nel suo server, e presumibilmente ha qualche modo di guardare a questo, anche se sta usando SSL o messaggi di trasporto crittografati simili - è il suo server, quindi può afferrare il certificato e decrittografare questi dati. Ciò significa che prima che venga memorizzato può guardare i tuoi dati. Questo è il punto 1 rotto - non può dire che è impossibile per lui leggere i tuoi dati.

Immagina di inviare un'immagine illegale al tuo backup. Il server remoto lo riceve e lo memorizza in memoria mentre lo crittografa per andare sul disco. A quel punto, la polizia irrompe e fa schiacciare il server in azoto liquido, eseguire un'analisi della memoria e scoprire che lì è contenuta un'immagine illegale. Il tuo amico viene arrestato per possesso di immagini illegali - questo è il punto 2. Non può provare che non sapeva quali fossero i dati.

D'altra parte, se si cripta l'invio prima , tutto ciò che viene ricevuto dal server remoto è crittografato. Può crittografarlo di più, se lo desideri, ma assumendo che tu scelga un metodo di crittografia dei dati ragionevole, il tuo amico non può leggere nulla che tu invii e il server remoto non ha assolutamente idea di cosa stia trattenendo. È solo una serie di byte apparentemente casuali.

Se segui questa strada, puoi guardare qualsiasi soluzione FDE per sistemi operativi nativi o un'unità di crittografia basata su hardware. Alla fine, hai bisogno di un sistema che crittografa e invii i dati: ci sono un certo numero di opzioni, ma raccomandarne uno sarebbe più adatto alle Raccomandazioni software SE, piuttosto che qui.

    
risposta data 09.02.2016 - 17:59
fonte

Leggi altre domande sui tag

Dove salvare il file Keepass? [chiuso] Perché il mio handshake TLS v1.2 richiede 2 connessioni tcp / ip?