Intereting Posts
Подождите, пока поток stdout завершится, а затем добавьте его содержимое в файл новые файлы имеют разные разрешения Проблемы с аудио на Arch Linux Каков безопасный способ запуска Java 7 на SELinux Arch Linux dhcpd не запускается при загрузке – не удается найти декларацию подсети Предварительный просмотр экранного меню рабочей области при переключении как в gnome-unity (для KDE) Отправка самого последнего созданного файла по электронной почте Как узнать скорость PCI-X-карты? Что такое узкое место IPsec в Linux? не могу загрузить Linux из-за сбоя при запуске службы регистрации Подпись ошибки ответа AWS XML не соответствует Программное обеспечение RAID10 setup пишет небольшие файлы очень медленно, это нормально? Может ли определяемое пользователем свойство «destroy-after» установить на снимке ZFS? Как заставить Debian использовать более новую версию OpenSSL? ssh пароль меньше аутентификации не работает

Лучший способ сделать зашифрованные резервные копии при сохранении разрешений на файловую систему Windows

Для моей домашней сети я хотел купить NAS, который поддерживает шифрование диска и NFS, так как для меня важно, чтобы резервная копия была зашифрована, но также она сохраняет владельца, группы и разрешения (поэтому NFS). Таким образом, я думал, что могу использовать что-то вроде rsnapshot или rBackup для резервного копирования моих данных и получения нескольких снимков. К сожалению, я не нашел NAS, который одновременно поддерживает NFS и шифрование. Поэтому мне было интересно, есть ли возможность получить это, используя NAS, который без NFS (используя, например, CIFS вместо NFS). Поэтому я ищу решение для резервного копирования, которое отвечает следующим требованиям:

  • резервное копирование на NAS в моей локальной сети (т.е. я не хочу использовать локальный USB-накопитель)
  • он должен сохранять владельца, группы и разрешения и символические ссылки
  • он должен быть зашифрован
  • должно быть несколько снимков, доступных как в rsnapshot или rBackup
  • должно быть легко получить доступ к файлам моментального снимка
  • он должен быть не слишком медленным

Любые идеи, как это сделать подробно?

Изменить: я просто попытаюсь подытожить ответы до сих пор и хочу задать еще один вопрос, чтобы прояснить некоторые моменты. Кажется, это самый гибкий вариант использования контейнера, FUSE или иначе «фальшивой» файловой системы, которая не зависит от целевого устройства. В этом подходе я могу использовать любой сценарий резервного копирования, который мне нравится, и шифрование выполняется клиентским ЦП. Возможности:

  • EncFS
  • Truecrypt
  • dmcrypt / Luks
  • S3QL

Я не уверен, можно ли читать и писать на NAS через S3QL из двух клиентов одновременно. Правильно ли, что это не проблема для других подходов? Что касается прав доступа, то в любом случае я должен убедиться, что он работает с NFS. Например, я мог бы просто сделать мой резервный скрипт для сохранения численного uid / gid и вообще не устанавливать пользователей на NAS.

EncFS, похоже, является самым простым решением. В Truecrypt и dmcrypt / luks мне нужно заранее выбрать упаковку, которая кажется не такой гибкой, как EncFS или Truecrypt. Однако существуют ли существенные различия между этими решениями, касающимися производительности и стабильности чтения / записи?

Еще один интересный подход, упомянутый до сих пор, заключается в использовании дублирования в качестве резервного сценария, который сам шифрует через gpg .

Вы можете использовать EncFS поверх NFS

encfs /encrypted_place_at_nfs /mnt/place_to_access_it_unencrypted

Я бы также проверил S3QL . Он предоставляет множество интересных функций для сетевых резервных копий. Это в основном предназначено для облачного резервного копирования, но вы также можете использовать его для локальной сети , например, используя NFS или SSHFS .

Что касается того, как делать резервные копии с этим программным обеспечением, это зависит от вас, S3QL – это просто удаленная файловая система с некоторыми дополнительными функциями.

В любом случае пакет S3QL включает пример сценария для способа его выполнения. Они в основном делают это, используя возможности дедупликации данных программного обеспечения, резервное копирование на удаленный каталог с датой в качестве имени, затем каждый раз, когда выполняется резервное копирование, копия предыдущей резервной копии выполняется и переименовывается к текущей дате резервного копирования, таким образом, только различия должны быть загружены в новый каталог с помощью rsync. В конечном итоге вы получаете множество каталогов для всех дат, которые вы использовали для резервного копирования, используя только минимальное хранилище, необходимое, поскольку данные не дублируются.

EDIT : (как ответ на дополнительные вопросы)

Файловая система S3QL может монтироваться только с одного клиента за раз, но я думаю, что это ограничение также относится к EncFS и dmcrypt / luks. Во всяком случае, это не соответствовало вашим требованиям? Если это новое требование, то вы, вероятно, застряли в использовании NFS или CIFS и некоторых программ резервного копирования, которые делают для вас заказ на клиенту, например, двуличность.

Возможно установить debian в ящик NAS и зашифровать весь жесткий диск. Проблема в том, что процессоры в большинстве блоков NAS (и особенно в DNS-323 из этой статьи) очень медленны, а локальное шифрование диска делает их чрезвычайно медленными и не реагирующими.

Другим решением будет размещение зашифрованного контейнера truecrypt на любом незашифрованном общем ресурсе NFS. Затем вы можете установить его на клиентский компьютер и использовать любой способ резервного копирования, который вы предпочитаете в зашифрованном контейнере. Таким образом, серверу не нужно выполнять вычисления шифрования.

Третьим вариантом было бы использование двуличия для создания зашифрованных инкрементных резервных копий в незашифрованную файловую систему с сохранением разрешений и символических ссылок. Он очень похож на rsync, но данные шифруются PGP. Недостатком является то, что он немного менее прозрачен в отношении того, как хранятся ваши резервные копии, поэтому доступ к предыдущей версии конкретного файла является нечетким.

Я лично использую D-Link DNS-323, работающий с Debian с незашифрованным RAID, и делаю резервные копии с дублированием. Это не идеальное решение, но это лучшее, что мне не хватило для работы полного ПК в качестве резервного сервера. У меня были хорошие отношения с truecrypt, но сложно автоматизировать этот процесс так же легко, как двуличие, так как каждый раз нужно монтировать отдельный контейнер.

Поскольку вы используете Linux, вы можете использовать dmcrypt / luks.

В Red-Hat-подобных системах (включая Fedora)

yum install cryptsetup-luks luks-tools

Это даст вам несколько команд luks.

Теперь вам нужно создать контейнер на вашем NAS-устройстве (допустим, он установлен rw on / mnt):

 # Create a sparse file dd if=/dev/zero of=/mnt/cryptdisk.dat seek=2G bs=1 count=1 # Create a key dd if=/dev/urandom of=/root/crypt.key bs=1 count=2048 # Assign a device losetup -a /dev/loop0 /mnt/cryptdisk.dat # Encrypt device cryptsetup luksFormat /dev/loop0 /root/crypt.key # Create mapping to an encrypted device cryptsetup luksOpen /dev/loop0 cryptdev -d /root/crypt.key 

Теперь у вас есть / dev / mapper / cryptdev, который вы можете использовать как раздел (например, форматируйте его с помощью ext3, монтируйте его, …)

Используйте смонтированный раздел для ваших целей …

Дальнейшее чтение: man cryptsetup , man losetup .