copias de seguridad cifradas para Linux y FreeBSD legibles para ambos

8

Tengo una computadora Linux y una FreeBSD, ambas encriptadas (LUKS y geli respectivamente). Me pregunto cómo hacer copias de seguridad que también estén encriptadas y sean legibles para ambos (de modo que si una de las computadoras falla, pueda recuperar rápidamente los datos usando la otra).

Desafortunadamente, parece que bot LUKS y geli son módulos de kernel para estos sistemas respectivos que nunca se han portado al otro respectivo. A juzgar por las diversas amenazas en los sistemas de archivos compatibles con BSD / Linux, parece que es lo suficientemente difícil hacer copias de seguridad sin cifrar que sean legibles para ambos (aparentemente ext2 es la única opción para un sistema de archivos que lo permita).

Entonces, mis pensamientos eran configurar un FreeBSD virtual en el KVM de Linux que pudiera leer y escribir un disco externo encriptado geli y transferir los datos a un volumen ext2 virtual no encriptado dentro del sistema de archivos encriptado LUKS de Linux (y al revés alrededor). Esto, sin embargo, parece terriblemente complicado y realmente no se siente como la forma correcta de hacerlo.

¿Hay alguna forma mejor / más fácil / más preferible? ¿O es la forma explicada anteriormente actualmente la mejor opción posible?

Gracias; Agradezco cualquier pensamiento al respecto.

0rango
fuente
2
Lo único que veo en esta lista en.wikipedia.org/wiki/… que es compatible con ambos es eCryptFS en.wikipedia.org/wiki/ECryptfs, aunque no es un cifrado de nivel de bloque. Es una capa de sistema de archivos.
Zoredache el
1
Prefiero configurar otra caja con mi sistema operativo favorito para servir y almacenar las copias de seguridad.
Ярослав Рахматуллин
Muchas gracias a los dos por sus pensamientos. Espero que algún momento en el futuro LUKS puerto alguien va a FreeBSD o Linux Geli (que por desgracia no tienen ni los conocimientos de programación / experiencia necesaria y el tiempo para adquirirlos.)
0range

Respuestas:

3

Establezcamos un par de suposiciones. Comente si eso no es correcto.

  1. ejecuta máquinas con diferentes sistemas operativos y plataformas potencialmente diferentes.
  2. usted lo describe para el caso con 2 máquinas, y Linux y FreeBSD
  3. sus máquinas usan sistemas de archivos encriptados
  4. desea crear copias de seguridad de sus datos y desea que esas copias de seguridad también se cifren
  5. desea poder acceder a los datos en esas copias de seguridad cifradas desde cualquiera de las plataformas que contribuyen al archivo

(comentario agregado para hacer una distinción entre las formas de cifrado)

Usted menciona que le gustaría poder acceder a los datos de otros sistemas, desde la máquina sobreviviente. Una forma podría ser almacenar copias de seguridad sin cifrar, en la máquina local, en su sistema de archivos cifrados. Otro podría ser almacenar copias de seguridad cifradas, en la máquina local, en un sistema de archivos no cifrado. Sugiero almacenar copias de seguridad cifradas, en sistemas de archivos no cifrados.

Sin embargo, como comentario aparte, siempre existe una preocupación por las copias de seguridad cifradas: - realmente debe tener cuidado con la clave - la corrupción parcial generalmente mata a toda la copia de seguridad

mi sugerencia: usar

para crear copias de seguridad en uno o varios contenedores a los que pueden acceder ambas máquinas.

Para mantenerlo todo dentro de su LAN, puede:

  1. cree un sistema de archivos de "copia de seguridad" en ambos hosts para almacenar los "paquetes" de copia de seguridad cifrados. No necesita un sistema de archivos cifrado, ya que los "paquetes" de copia de seguridad (brackup los llama "fragmentos") almacenados en él estarán cifrados
  2. exportar estos sistemas de archivos, por ejemplo, con NFS, y montarlo en los otros hosts, respectivamente
  3. cuando cree copias de seguridad, vuélvalas al sistema de archivos local y duplíquelas en el directorio montado en NFS en el otro host. Esto tiene el agradable efecto secundario de tener dos instancias de sus archivos de respaldo.

ahora tendrá los siguientes sistemas de archivos en sus servidores:

en tux, tu máquina Linux:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

en Beastie, tu máquina FreeBSD:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

dependiendo de la cantidad de datos que necesita respaldar, también podría pensar en un contenedor externo, lo haría cualquier proveedor de la nube. Actualmente estoy jugando con la configuración de mis contenedores S3 para que las cosas viejas envejezcan a Glacier, eso parece muy prometedor, a un precio razonable.

Florenz Kley
fuente
no exactamente. No necesito que sea bloque por bloque y no necesito que sea a través de la red (aunque las herramientas que sugieres parecen muy interesantes). el problema es más bien (como lo habían entendido correctamente Zoredache y Ярослав Рахматуллин) que si alguno de los sistemas falla por alguna razón, necesito alguna forma de acceder a las copias de seguridad. Por lo tanto, las copias de seguridad deben almacenarse en un sistema de archivos cifrado (en otro disco) accesible para ambos sistemas. Esto plantea un problema, ya que tanto los sistemas de cifrado nativos como los sistemas de archivos nativos de Linux y Freebsd son incompatibles. lo siento por no responder antes.
0range
Ah, y debo mencionar que algunos de esos tarballs están encriptados manualmente para mí como destinatario de PGP. Las configuraciones más inteligentes más adelante tienen dos archivos, un archivo encriptado con una clave simétrica y la clave encriptada con PGP, ambos en otro tarball más, para que los archivos no se pierdan en la transferencia. Nada de eso está tan bien automatizado como los scripts mencionados, pero hizo el trabajo.
Florenz Kley el
Nunca he oído hablar de duplicidad, ¡pero parece exactamente lo que estoy buscando! ¿Sabes cuántos años tiene? ¿Es estable? No puedo encontrar ninguna fecha de cuando el proyecto ha comenzado.
cnst
Duplicity [ duplicity.nongnu.org] existe desde 2002, lo uso desde ca. 2004.
Florenz Kley
@ 0range: eliminó un poco la distinción de "cifrado". Lo que propongo no es bloque por bloque, está basado en archivos. Sugiera utilizar sistemas de archivos sin cifrar, ya que ambos sistemas pueden leerlos. Almacene copias de seguridad cifradas en ellos, también pueden leerse en ambas plataformas con las respectivas herramientas nativas. Eso debería marcar la casilla tanto en sus requisitos, encriptación y legibilidad, en ambas plataformas.
Florenz Kley
2

Duplicidad : gran herramienta para esta tarea, utiliza GPG para el cifrado. Lo estoy usando por algún tiempo y realmente lo recomiendo.

Como alternativas puedes probar:

  • obnam : es un proyecto nuevo, pero tiene algunas características interesantes (es un poco lento si se usa a través de ssh / scp)
  • eructo - cifrado con contraseña
spinus
fuente
vea mi comentario a la respuesta de Florenz Kley arriba. (y gracias por sugerir esas herramientas)
0range
Lo siento, solo pude agregar comentarios aquí. Estas herramientas no son bloque por bloque, sino FS (puede hacer una copia de seguridad de FS y restaurarla incluso en Windows). GPG es un estándar para el cifrado, también funciona en ambos. Estos programas no son solo de red, puede hacer una copia de seguridad de dir a dir. Entonces, con duplicidad puede hacer una copia de seguridad de ambas máquinas y restaurar la copia de seguridad cifrada en todas partes donde tenga duplicidad y clave GPG.
spinus
2

TrueCrypt debería funcionar tanto en Linux como en FreeBSD. Aunque regularmente uso TrueCrypt solo en Windows y no he probado FreeBSD Truecrypt. YMMV.

Mikhail Kupchik
fuente
1

Puede hacer una copia de seguridad de los archivos de sus máquinas usando rsyncel disco duro de otras máquinas. Como de todos modos está utilizando el cifrado local, está cifrado con el cifrado y la transmisión de los sistemas locales está asegurado por TLS. Las actualizaciones son rápidas y se adhieren a mecanismos de encriptación y respaldo bien probados.

Si solo tiene que hacer una copia de seguridad de archivos en un sistema no confiable, GPG simple funcionó bien para mí. Automaticé un poco de encriptación y transferencia FTP con python, que ya funciona bien durante dos años.

Miguel
fuente