Bewährte Methode zum Sichern eines mit LUKS verschlüsselten Geräts

15

Was ist die schnellste Methode , um ein luks- verschlüsseltes Gerät zu sichern und wiederherzustellen (zB ein vollständig verschlüsseltes USB-Gerät in eine Image-Datei) ?

Das USB-Gerät kann entschlüsselt / zugegriffen werden . Ich suche nach einer Lösung, um das Backup-Image als Datei (verschlüsselt) bereitzustellen. Kann es möglich sein?

Halten Sie es einfach dumm.

linux  usb  backup  encryption  luks 
mate64
quelle
Möchten Sie nur die Dateien oder das gesamte Gerät als Image sichern? Soll das Backup verschlüsselt / komprimiert / ... werden? Wo möchten Sie das Backup speichern?
Jofel
@jofel Auf das USB-Gerät kann entschlüsselt / zugegriffen werden . Ich suche nach einer Lösung, um das Backup-Image als Datei (verschlüsselt) bereitzustellen. Kann es möglich sein?
mate64

Antworten:

10

cryptsetupBewältigt Bilddateien genauso wie das Blockieren von Geräten, wenn das Ihre Frage war. Also, wenn Sie ein ddBild machen (das sehr groß sein wird), wird es funktionieren. Wenn dies nicht der Fall wäre, könnten Sie das Loop-Gerät einfach selbst erstellen.

Bewährte Methode (wenn Sie die Sicherung verschlüsselt aufbewahren möchten) ist, auch die Sicherungsfestplatte zu verschlüsseln, dann beide Container zu öffnen und dann eine Sicherungslösung Ihrer Wahl wie bei unverschlüsselten Dateisystemen auszuführen. Dies ist nicht die schnellste Methode, da Daten von der Quellfestplatte entschlüsselt und anschließend für die Sicherungsfestplatte erneut verschlüsselt werden. Auf der anderen Seite erlaubt es inkrementelle Backup-Lösungen, so dass es die Erstellung von DD-Images im Durchschnitt noch übertreffen sollte.

Wenn Sie sich daran halten möchten dd, ist die einzige Möglichkeit, etwas schneller zu machen dd, eine partimageArt, bei der LUKS-Header und Offset berücksichtigt werden, sodass nur die verschlüsselten Daten gespeichert werden, die tatsächlich vom Dateisystem verwendet werden.

Wenn es sich bei der Quellfestplatte um eine SSD handelt und Sie TRIM innerhalb von LUKS zulassen und die SSD beschnittene Bereiche als Nullen anzeigt, erhalten Sie dieses Verhalten kostenlos mit dd conv=sparse. Ich würde es trotzdem nicht empfehlen.

Frostschutz
quelle
+1 Hervorragende Antwort , du bist ein echter Gnu / Linux-Maestro !
mate64
7

Die einfachste Methode besteht darin, das Backup-System vom Verschlüsselungssystem unabhängig zu machen. Erstellen Sie ein verschlüsseltes Volume für die Sicherung. Stellen Sie sowohl das ursprüngliche Volume als auch das Sicherungsvolume bereit und führen Sie Ihre bevorzugte Sicherungssoftware auf Dateisystemebene aus.

Ein Vorteil dieser Methode ist neben der Einfachheit, dass das Backup-Volume nicht dieselbe Größe und denselben Inhalt wie das Original haben muss. Sie können in ein Unterverzeichnis sichern, inkrementelle Sicherungen durchführen usw.

Es gibt auch einen sehr geringen Sicherheitsvorteil. Wenn ein Angreifer Ihre Sicherungskopie erstellt und Ihr Kennwort findet und das Sicherungsvolume eine direkte Kopie des verschlüsselten Volumes ist, müssen Sie das ursprüngliche Volume erneut verschlüsseln. Wenn das Backup-Volume unabhängig verschlüsselt ist, reicht es aus, das Kennwort auf dem ursprünglichen Volume zu ändern.

Gilles 'SO - hör auf böse zu sein'
quelle
4

Was ich getan habe

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
Eero Aaltonen
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.