Come eseguire il backup esternamente di una partizione del disco completamente crittografata

2

Per un tipo di NAS / server che esegue Ubuntu con SAMBA per ospitare file per diversi computer Windows, vorrei crittografare i file sul server. So che potrei farlo per la partizione usando ZFS o LUKS.

Ma ho un'altra sfida: ogni notte voglio sincronizzare tutti i file modificati in un'unità cloud tramite rsync. Nel cloud e prima del trasferimento, voglio che tutti i file siano crittografati. Se la partizione completa è crittografata, i file appariranno non crittografati su rsync. Sfortunatamente rsync non supporta la sincronizzazione con la crittografia (a causa dei suoi algoritmi hash e data). Quindi sarebbe meglio avere una partizione non criptata con file crittografati in modo che rsync possa fare il suo lavoro. Avere nomi di file visibili non è un problema.

Ci sono raccomandazioni su come risolverlo? Mi chiedo se SAMBA potrebbe fare la crittografia / decrittografia o se ci sia un file system che supporta questo. O forse ci sono alternative a rsync? Cloud Drive supporta FTP, SFTP, FTPS, WebDAV, SMB / CIFS con e senza VPN, SCP e rsync.

    
posta Felix 04.02.2018 - 20:15
fonte

3 risposte

2

Dai un'occhiata a Duplicità , che è uno strumento comunemente usato per la cosa esatta che vuoi ottenere. Può crittografare i tuoi file tramite GPG e utilizza rsync per creare back-up su una determinata destinazione.

    
risposta data 04.02.2018 - 20:51
fonte
2

Un'altra alternativa è usare EncFS per crittografare i tuoi file su NAS. Il modo in cui EncFS funziona è a livello di file, memorizza ogni file crittografato sul disco rigido e lo decrittografa al volo quando si accede tramite file system montati su FUSE.

Quindi puoi eseguire il rsync delle tue directory crittografate dal disco rigido al cloud così com'è, senza utilizzare strumenti aggiuntivi.

NB: ci sono problemi di sicurezza legati all'uso di EncFS (vedi la pagina Wiki), ma nel tuo caso d'uso sembrano essere in gran parte irrilevanti. Se continui a considerarli pertinenti, gocryptfs è un successore di EncFS e risolve alcuni di questi problemi.

    
risposta data 04.02.2018 - 23:33
fonte
-1

Da un po 'di tempo cerco di ottenere qualcosa di simile, e un paio di giorni fa ho funzionato. Sto usando SSHFS.

La duplicità è buona, ma se preferisci utilizzare strumenti più semplici, la mia configurazione ti consente di fare ciò che hai originariamente richiesto: un filesystem crittografato su un server remoto, al quale puoi accedere tramite un canale criptato, in un modo abbastanza conveniente per il funzionamento di rsync.

Se sia sicuro o meno, è un'altra considerazione importante. L'unico problema che ho riscontrato per questa configurazione è il seguente: È sicuro archiviare volumi crittografati sui servizi di sincronizzazione cloud?

Ecco come l'ho configurato:

# setup

ssh remoteserver
cd /srv/storage/
sudo dd if=/dev/zero of=store1 bs=1024 count=1048576 # 1 GB
sudo chown nacht:nacht store1
exit

# make sure /etc/fuse.conf has the "user_allow_other" line uncommented, and that your account can read from this file

sudo mkdir /mnt/securestorage
sudo mkdir /mnt/store1
sudo chown nacht:nacht /mnt/securestorage
sudo chown nacht:nacht /mnt/store1
sshfs remoteserver:/srv/storage /mnt/securestorage -o allow_other
sudo losetup -a # check which loop to use
sudo losetup /dev/loop0 /mnt/securestorage/store1
sudo cryptsetup -y -v luksFormat /dev/loop0
sudo cryptsetup luksOpen /dev/loop0 store1
sudo mkfs -t ext3 -m 1 -v /dev/mapper/store1
sudo mount /dev/mapper/store1 /mnt/store1
cd /mnt/store1
sudo chown nacht:nacht .
echo "test" > test
cat test
cd ..
sudo umount /mnt/store1
sudo cryptsetup luksClose store1
sudo losetup -d /dev/loop0
sudo umount /mnt/securestorage


# turn it on
sshfs remoteserver:/srv/storage /mnt/securestorage -o allow_other
sudo losetup -a # check which loop to use
sudo losetup /dev/loop0 /mnt/securestorage/store1
sudo cryptsetup luksOpen /dev/loop0 store1
sudo mount /dev/mapper/store1 /mnt/store1
cd /mnt/store1

# turn it off
cd /
sudo umount /mnt/store1
sudo cryptsetup luksClose store1
sudo losetup -d /dev/loop0
sudo umount /mnt/securestorage
    
risposta data 19.07.2018 - 13:39
fonte

Leggi altre domande sui tag