Meilleure pratique pour sauvegarder un appareil chiffré LUKS

15

Quelle est la méthode la plus rapide pour sauvegarder et restaurer un périphérique crypté luks (par exemple, un périphérique USB entièrement crypté dans un fichier image).

Le périphérique USB peut être déchiffré / accessible . Je cherche une solution pour monter l'image de sauvegarde en tant que fichier (crypté). Est-ce possible?

Restez simple, stupide.

linux  usb  backup  encryption  luks 
mate64
source
Voulez-vous sauvegarder uniquement les fichiers ou l'ensemble du périphérique en tant qu'image? La sauvegarde doit-elle être chiffrée / compressée / ...? Où souhaitez-vous stocker la sauvegarde?
jofel
@jofel Le périphérique USB peut être déchiffré / accessible . Je recherche une solution pour monter l'image de sauvegarde en tant que fichier (crypté). Est-ce possible?
mate64

Réponses:

10

cryptsetupgère les fichiers image aussi bien que les périphériques de bloc, si telle était votre question. Donc, si vous créez une ddimage (qui sera énorme), cela fonctionnera. Et si ce n'est pas le cas, vous pouvez simplement créer le périphérique de boucle vous-même.

La meilleure pratique (si vous souhaitez conserver la sauvegarde chiffrée) consiste à chiffrer également le disque de sauvegarde, puis à ouvrir les deux conteneurs, puis à exécuter la solution de sauvegarde de votre choix comme vous le feriez avec des systèmes de fichiers non chiffrés. Ce ne sera pas la méthode la plus rapide car elle décrypterait les données du disque source, puis les rechiffrerait pour le disque de sauvegarde. D'un autre côté, il permet des solutions de sauvegarde incrémentielle, il devrait donc toujours battre la création d'image-dd en moyenne.

Si vous voulez vous en tenir à dd, la seule façon de faire quelque chose de plus rapide que ce ddserait une partimagesorte qui prend en compte l'en-tête LUKS et le décalage, donc il ne stockerait que les données chiffrées qui sont réellement utilisées par le système de fichiers.

Si le disque source est un SSD et que vous autorisez TRIM à l'intérieur de LUKS et que le SSD affiche les régions découpées sous forme de zéros, vous obtenez ce comportement gratuitement avec dd conv=sparse. Ce n'est toujours pas quelque chose que je recommanderais, cependant.

frostschutz
source
+1 Excellente réponse , vous êtes un vrai maestro gnu / linux !
mate64
7

La méthode la plus simple consiste à rendre le système de sauvegarde indépendant du système de cryptage. Créez un volume chiffré pour la sauvegarde. Montez à la fois le volume d'origine et le volume de sauvegarde et exécutez votre logiciel de sauvegarde préféré au niveau du système de fichiers.

Outre la simplicité, un avantage de cette méthode est que le volume de sauvegarde n'a pas à avoir la même taille et le même contenu que l'original. Vous pouvez sauvegarder dans un sous-répertoire, vous pouvez faire des sauvegardes incrémentielles, etc.

Il y a également un très léger avantage de sécurité. Si un attaquant saisit votre sauvegarde et trouve votre mot de passe, et que le volume de sauvegarde est une copie directe du volume chiffré, vous devrez rechiffrer le volume d'origine. Si le volume de sauvegarde est chiffré indépendamment, il suffit de changer le mot de passe sur le volume d'origine.

Gilles 'SO- arrête d'être méchant'
source
4

Ce que j'ai fait

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
Eero Aaltonen
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.