Лучший способ сделать зашифрованные резервные копии при сохранении разрешений на файловую систему Windows

Для моей домашней сети я хотел купить NAS, который поддерживает шифрование диска и NFS, так как для меня важно, чтобы резервная копия была зашифрована, но также она сохраняет владельца, группы и разрешения (поэтому NFS). Таким образом, я думал, что могу использовать что-то вроде rsnapshot или rBackup для резервного копирования моих данных и получения нескольких снимков. К сожалению, я не нашел NAS, который одновременно поддерживает NFS и шифрование. Поэтому мне было интересно, есть ли возможность получить это, используя NAS, который без NFS (используя, например, CIFS вместо NFS). Поэтому я ищу решение для резервного копирования, которое отвечает следующим требованиям:

  • резервное копирование на NAS в моей локальной сети (т.е. я не хочу использовать локальный USB-накопитель)
  • он должен сохранять владельца, группы и разрешения и символические ссылки
  • он должен быть зашифрован
  • должно быть несколько снимков, доступных как в rsnapshot или rBackup
  • должно быть легко получить доступ к файлам моментального снимка
  • он должен быть не слишком медленным

Любые идеи, как это сделать подробно?

Изменить: я просто попытаюсь подытожить ответы до сих пор и хочу задать еще один вопрос, чтобы прояснить некоторые моменты. Кажется, это самый гибкий вариант использования контейнера, FUSE или иначе «фальшивой» файловой системы, которая не зависит от целевого устройства. В этом подходе я могу использовать любой сценарий резервного копирования, который мне нравится, и шифрование выполняется клиентским ЦП. Возможности:

  • EncFS
  • Truecrypt
  • dmcrypt / Luks
  • S3QL

Я не уверен, можно ли читать и писать на NAS через S3QL из двух клиентов одновременно. Правильно ли, что это не проблема для других подходов? Что касается прав доступа, то в любом случае я должен убедиться, что он работает с NFS. Например, я мог бы просто сделать мой резервный скрипт для сохранения численного uid / gid и вообще не устанавливать пользователей на NAS.

EncFS, похоже, является самым простым решением. В Truecrypt и dmcrypt / luks мне нужно заранее выбрать упаковку, которая кажется не такой гибкой, как EncFS или Truecrypt. Однако существуют ли существенные различия между этими решениями, касающимися производительности и стабильности чтения / записи?

Еще один интересный подход, упомянутый до сих пор, заключается в использовании дублирования в качестве резервного сценария, который сам шифрует через gpg .

4 Solutions collect form web for “Лучший способ сделать зашифрованные резервные копии при сохранении разрешений на файловую систему Windows”

Вы можете использовать EncFS поверх NFS

encfs /encrypted_place_at_nfs /mnt/place_to_access_it_unencrypted

Я бы также проверил S3QL . Он предоставляет множество интересных функций для сетевых резервных копий. Это в основном предназначено для облачного резервного копирования, но вы также можете использовать его для локальной сети , например, используя NFS или SSHFS .

Что касается того, как делать резервные копии с этим программным обеспечением, это зависит от вас, S3QL – это просто удаленная файловая система с некоторыми дополнительными функциями.

В любом случае пакет S3QL включает пример сценария для способа его выполнения. Они в основном делают это, используя возможности дедупликации данных программного обеспечения, резервное копирование на удаленный каталог с датой в качестве имени, затем каждый раз, когда выполняется резервное копирование, копия предыдущей резервной копии выполняется и переименовывается к текущей дате резервного копирования, таким образом, только различия должны быть загружены в новый каталог с помощью rsync. В конечном итоге вы получаете множество каталогов для всех дат, которые вы использовали для резервного копирования, используя только минимальное хранилище, необходимое, поскольку данные не дублируются.

EDIT : (как ответ на дополнительные вопросы)

Файловая система S3QL может монтироваться только с одного клиента за раз, но я думаю, что это ограничение также относится к EncFS и dmcrypt / luks. Во всяком случае, это не соответствовало вашим требованиям? Если это новое требование, то вы, вероятно, застряли в использовании NFS или CIFS и некоторых программ резервного копирования, которые делают для вас заказ на клиенту, например, двуличность.

Возможно установить debian в ящик NAS и зашифровать весь жесткий диск. Проблема в том, что процессоры в большинстве блоков NAS (и особенно в DNS-323 из этой статьи) очень медленны, а локальное шифрование диска делает их чрезвычайно медленными и не реагирующими.

Другим решением будет размещение зашифрованного контейнера truecrypt на любом незашифрованном общем ресурсе NFS. Затем вы можете установить его на клиентский компьютер и использовать любой способ резервного копирования, который вы предпочитаете в зашифрованном контейнере. Таким образом, серверу не нужно выполнять вычисления шифрования.

Третьим вариантом было бы использование двуличия для создания зашифрованных инкрементных резервных копий в незашифрованную файловую систему с сохранением разрешений и символических ссылок. Он очень похож на rsync, но данные шифруются PGP. Недостатком является то, что он немного менее прозрачен в отношении того, как хранятся ваши резервные копии, поэтому доступ к предыдущей версии конкретного файла является нечетким.

Я лично использую D-Link DNS-323, работающий с Debian с незашифрованным RAID, и делаю резервные копии с дублированием. Это не идеальное решение, но это лучшее, что мне не хватило для работы полного ПК в качестве резервного сервера. У меня были хорошие отношения с truecrypt, но сложно автоматизировать этот процесс так же легко, как двуличие, так как каждый раз нужно монтировать отдельный контейнер.

Поскольку вы используете Linux, вы можете использовать dmcrypt / luks.

В Red-Hat-подобных системах (включая Fedora)

yum install cryptsetup-luks luks-tools

Это даст вам несколько команд luks.

Теперь вам нужно создать контейнер на вашем NAS-устройстве (допустим, он установлен rw on / mnt):

 # Create a sparse file dd if=/dev/zero of=/mnt/cryptdisk.dat seek=2G bs=1 count=1 # Create a key dd if=/dev/urandom of=/root/crypt.key bs=1 count=2048 # Assign a device losetup -a /dev/loop0 /mnt/cryptdisk.dat # Encrypt device cryptsetup luksFormat /dev/loop0 /root/crypt.key # Create mapping to an encrypted device cryptsetup luksOpen /dev/loop0 cryptdev -d /root/crypt.key 

Теперь у вас есть / dev / mapper / cryptdev, который вы можете использовать как раздел (например, форматируйте его с помощью ext3, монтируйте его, …)

Используйте смонтированный раздел для ваших целей …

Дальнейшее чтение: man cryptsetup , man losetup .

  • Шифрование диска с содержимым
  • Как шифровать флэш-диск с помощью SecurStick?
  • Есть ли общий инструмент помимо gpg для шифрования файлов в AES?
  • Как проверить, использует ли мое беспроводное соединение AES или TKIP с терминала?
  • Что происходит с данными раздела подкачки Linux при запуске Windows с помощью двойной загрузки
  • Расшифруйте часть поврежденного диска
  • Загрузка зашифрованного корневого раздела происходит после обновления системы
  • OpenSSL Использование для расшифровки строки
  • Шифрование с помощью Xubuntu с ключом и паролем
  • Неинтерактивный каталог ecryptfs encrypt / decrypt
  • Насколько сильным является шифрование zip-файла в Linux Mint
  • Interesting Posts
    Linux и Unix - лучшая ОС в мире.