备份LUKS加密设备的最佳实践


15

什么是最快的方法备份和恢复加密设备(如一个完整的加密的USB设备到一个图像文件)。

可以对USB设备进行解密/访问。我正在寻找一种将备份映像安装为文件(加密)的解决方案。有可能吗

保持简单,愚蠢。


您是否只将文件或整个设备备份为映像?备份是否应该加密/压缩/ ...?您要将备份存储在哪里?
jofel

@jofel USB设备可以被解密/访问。我正在寻找一种将备份映像安装为文件(加密)的解决方案。有可能吗
mate64 2013年

Answers:


10

cryptsetup如果这是您的问题,则可以处理图像文件以及块设备。因此,如果您制作一张dd图像(将变得巨大),它将起作用。如果没有,您可以自己创建回路设备。

最佳实践(如果要使备份保持加密状态)也要加密备份磁盘,然后打开两个容器,然后像使用未加密的文件系统一样运行所选的任何备份解决方案。这不是最快的方法,因为它会解密源磁盘中的数据,然后将其重新加密为备份磁盘。另一方面,它允许使用增量备份解决方案,因此平均而言,它应该仍然胜过dd-image-creation。

如果你要坚持dd,只有这样,才能使一些速度比dd将是一个partimage各种各样这需要陆氏头和偏移考虑进去,所以它只能存储实际上是由文件系统使用的加密数据。

如果源磁盘是SSD,并且您在LUKS内允许TRIM,并且SSD将修剪区域显示为零,则可以免费获得此行为dd conv=sparse。不过,我仍然不建议这样做。


+1绝佳答案,您是一位真正的gnu / linux大师
mate64 2013年

7

最简单的方法是使备份系统独立于加密系统。为备份创建一个加密的卷。挂载原始卷和备份卷,然后运行您喜欢的文件系统级备份软件。

除了简单之外,此方法的一个优点是备份卷不必具有与原始卷相同的大小和内容。您可以备份到子目录,可以进行增量备份等。

还有一个非常小的安全优势。如果攻击者抓住您的备份并找到您的密码,并且备份卷是加密卷的直接副本,则需要重新加密原始卷。如果备份卷是独立加密的,则足以更改原始卷上的密码。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.