Linux 용 암호화 백업 및 FreeBSD 모두 읽기 가능 것 같습니다 (ext2는이를 가능하게하는 파일

Linux와 FreeBSD 컴퓨터가 암호화되어 있습니다 (각각 LUKS와 geli). 암호화되고 둘 다 읽을 수있는 백업을 만드는 방법이 궁금합니다 (컴퓨터 중 하나가 실패하면 다른 컴퓨터를 사용하여 신속하게 데이터를 복구 할 수 있습니다).

불행히도 봇 LUKS와 geli는 각각의 다른 시스템으로 포팅 된 적이없는 각각의 시스템을위한 커널 모듈 인 것 같습니다. BSD / Linux 호환 파일 시스템에 대한 여러 가지 위협으로 볼 때 암호화되지 않은 백업을 모두 읽을 수있는 것으로 만드는 것은 어려운 것 같습니다 (ext2는이를 가능하게하는 파일 시스템에 대한 유일한 옵션 임).

그래서 제 생각은 geli로 암호화 된 외부 디스크를 읽고 쓸 수 있고 Linux의 LUKS 암호화 파일 시스템 내에서 암호화되지 않은 가상 ext2 볼륨으로 데이터를 전송할 수있는 Linux KVM에 가상 FreeBSD를 설정하는 것입니다. 주위에). 그러나 이것은 굉장히 복잡해 보이며 실제로 올바른 방법으로 느끼지 않습니다.

더 나은 / 쉬운 / 더 선호하는 방법이 있습니까? 아니면 위에서 설명한 방법이 현재 최선의 선택입니까?

감사; 이 문제에 대한 의견을 보내 주셔서 감사합니다.



답변

몇 가지 가정을 설정합시다. 정확하지 않으면 의견을 말하십시오.

  1. 다른 운영 체제 및 잠재적으로 다른 플랫폼을 가진 머신을 실행합니다.
  2. 두 대의 컴퓨터와 Linux 및 FreeBSD의 경우에 대해 설명합니다.
  3. 컴퓨터는 암호화 된 파일 시스템을 사용합니다
  4. 데이터 백업을 생성하고 해당 백업도 암호화하기를 원합니다
  5. 아카이브에 기여하는 모든 플랫폼에서 암호화 된 백업의 데이터에 액세스 할 수 있기를 원합니다.

(암호화 형태를 구별하기 위해 주석 추가)

살아남은 머신에서 다른 시스템 데이터에 액세스하고 싶다고 언급했습니다. 한 가지 방법은 암호화되지 않은 백업을 로컬 시스템의 암호화 된 파일 시스템에 저장하는 것입니다. 또 다른 방법은 암호화 된 백업을 로컬 시스템의 암호화되지 않은 파일 시스템에 저장하는 것입니다. 암호화 된 파일 시스템이 아닌 암호화 된 백업을 저장하는 것이 좋습니다.

그러나 제쳐두고-항상 암호화 된 백업에 대한 우려가 있습니다.-키를 조심해야합니다.

내 제안 : 사용

두 머신이 액세스 할 수있는 하나 이상의 컨테이너에 백업을 작성합니다.

LAN 내부에 모든 것을 유지하려면 다음을 수행하십시오.

  1. 암호화 된 백업 “패키지”를 저장하기 위해 두 호스트 모두에 “백업”파일 시스템을 작성하십시오. 백업 “패키지”(브랙 업은 “청크”라고 함)가 암호화되므로 암호화 된 파일 시스템 일 필요는 없습니다.
  2. 예를 들어 NFS를 사용하여 이러한 파일 시스템을 내보내고 각각 다른 호스트에 마운트하십시오.
  3. 백업을 작성할 때 로컬 파일 시스템에 덤프하고 다른 호스트의 NFS 마운트 디렉토리에 미러하십시오. 이것은 백업 파일의 두 인스턴스를 갖는 좋은 부작용이 있습니다.

이제 서버에 다음 파일 시스템이 있습니다.

턱시도에서 리눅스 머신 :

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

beastie에서 FreeBSD 머신 :

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

백업해야하는 데이터의 양에 따라 모든 클라우드 제공 업체가 수행하는 오프 사이트 컨테이너에 대해서도 생각할 수 있습니다. 저는 현재 S3 컨테이너를 구성하여 오래된 물건이 Glacier로 노후화되어 매우 유망하고 가격 적으로 보입니다.


답변

Duplicity- 이 작업을위한 훌륭한 도구로 암호화에 GPG를 사용합니다. 나는 그것을 얼마 동안 사용하고 정말로 추천합니다.

대안으로 시도해 볼 수 있습니다.

  • obnam- 새로운 프로젝트이지만 멋진 기능이 있습니다 (ssh / scp를 통해 사용하면 약간 느립니다)
  • 트림 -비밀번호로 암호화

답변

TrueCrypt는 Linux 및 FreeBSD에서 모두 작동해야합니다. 나는 정기적으로 Windows에서만 TrueCrypt를 사용하지만 FreeBSD Truecrypt를 직접 시도하지는 않았습니다. YMMV.


답변

rsync다른 시스템 하드 드라이브에서 일반 을 사용하여 시스템의 파일을 백업 할 수 있습니다 . 어쨌든 로컬 암호화를 사용하고 있으므로 로컬 시스템 암호화로 암호화되어 전송이 TLS로 보호됩니다. 업데이트는 빠르며 입증 된 암호화 및 백업 메커니즘을 사용합니다.

신뢰할 수없는 시스템에서 파일을 백업 해야하는 경우 일반 GPG가 효과적이었습니다. 이미 2 년 동안 훌륭하게 실행되는 파이썬으로 일부 암호화 및 FTP 전송을 자동화했습니다.