备份LUKS加密设备的最佳实践

什么是最快的方法来备份和恢复陆氏加密设备（如一个完整的加密的USB设备到一个图像文件）。

可以对USB设备进行解密/访问。我正在寻找一种将备份映像安装为文件（加密）的解决方案。有可能吗

保持简单，愚蠢。

cryptsetup如果这是您的问题，则可以处理图像文件以及块设备。因此，如果您制作一张dd图像（将变得巨大），它将起作用。如果没有，您可以自己创建回路设备。

最佳实践（如果要使备份保持加密状态）也要加密备份磁盘，然后打开两个容器，然后像使用未加密的文件系统一样运行所选的任何备份解决方案。这不是最快的方法，因为它会解密源磁盘中的数据，然后将其重新加密为备份磁盘。另一方面，它允许使用增量备份解决方案，因此平均而言，它应该仍然胜过dd-image-creation。

如果你要坚持dd，只有这样，才能使一些速度比dd将是一个partimage各种各样这需要陆氏头和偏移考虑进去，所以它只能存储实际上是由文件系统使用的加密数据。

如果源磁盘是SSD，并且您在LUKS内允许TRIM，并且SSD将修剪区域显示为零，则可以免费获得此行为dd conv=sparse。不过，我仍然不建议这样做。

最简单的方法是使备份系统独立于加密系统。为备份创建一个加密的卷。挂载原始卷和备份卷，然后运行您喜欢的文件系统级备份软件。

除了简单之外，此方法的一个优点是备份卷不必具有与原始卷相同的大小和内容。您可以备份到子目录，可以进行增量备份等。

还有一个非常小的安全优势。如果攻击者抓住您的备份并找到您的密码，并且备份卷是加密卷的直接副本，则需要重新加密原始卷。如果备份卷是独立加密的，则足以更改原始卷上的密码。

我做了什么

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>