La mejor práctica para hacer una copia de seguridad de un dispositivo cifrado LUKS

¿Cuál es el método más rápido para hacer una copia de seguridad y restaurar un dispositivo encriptado luks (por ejemplo, un dispositivo usb encriptado completo en un archivo de imagen)?

El dispositivo usb se puede descifrar / acceder . Estoy buscando una solución para montar la imagen de respaldo como un archivo (encriptado). Puede ser posible?

Mantenlo simple, estúpido.

cryptsetupmaneja archivos de imagen tan bien como dispositivos de bloque, si esa era su pregunta. Entonces, si haces una ddimagen (que será enorme) funcionará. Y si no fuera así, podría crear el dispositivo de bucle usted mismo.

La mejor práctica (si desea mantener la copia de seguridad cifrada) es cifrar también el disco de copia de seguridad, luego abrir ambos contenedores, luego ejecutar cualquier solución de copia de seguridad de su elección como lo haría con sistemas de archivos sin cifrar. No será el método más rápido, ya que descifraría los datos del disco de origen y luego los volvería a cifrar para el disco de respaldo. Por otro lado, permite soluciones de copia de seguridad incrementales, por lo que aún debería superar la creación de imágenes dd en promedio.

Si desea seguir dd, la única forma de hacer algo más rápido ddsería un partimagetipo que tenga en cuenta el encabezado LUKS y la compensación, por lo que solo almacenaría los datos cifrados que realmente está utilizando el sistema de archivos.

Si el disco de origen es un SSD y permite TRIM dentro de LUKS, y el SSD muestra regiones recortadas como ceros, obtendrá este comportamiento de forma gratuita con dd conv=sparse. Sin embargo, todavía no es algo que recomendaría.

El método más simple es hacer que el sistema de respaldo sea independiente del sistema de cifrado. Cree un volumen cifrado para la copia de seguridad. Monte el volumen original y el volumen de respaldo, y ejecute su software de respaldo de nivel de sistema de archivos favorito.

Además de la simplicidad, una ventaja con este método es que el volumen de respaldo no tiene que tener el mismo tamaño y contenido que el original. Puede hacer una copia de seguridad en un subdirectorio, puede hacer copias de seguridad incrementales, etc.

También hay una muy ligera ventaja de seguridad. Si un atacante toma su copia de seguridad y encuentra su contraseña, y el volumen de la copia de seguridad es una copia directa del volumen cifrado, deberá volver a cifrar el volumen original. Si el volumen de copia de seguridad se cifra de forma independiente, es suficiente cambiar la contraseña en el volumen original.

Lo que hice

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>