sauvegardes chiffrées pour Linux et FreeBSD lisibles pour les deux

8

J'ai un ordinateur Linux et FreeBSD, tous deux cryptés (LUKS et geli respectivement). Je me demande comment faire des sauvegardes qui seraient également cryptées et lisibles pour les deux (de sorte que si l'un des ordinateurs tombe en panne, je puisse récupérer rapidement les données en utilisant l'autre).

Malheureusement, il semble que bot LUKS et geli soient des modules de noyau pour leurs systèmes respectifs qui n'ont jamais été portés sur l'autre. À en juger par les nombreuses menaces sur les systèmes de fichiers compatibles BSD / Linux, il semble qu'il soit assez difficile de faire des sauvegardes non chiffrées qui seraient lisibles par les deux (ext2 étant apparemment la seule option pour un système de fichiers qui le permettrait).

Donc, mes pensées étaient de configurer un FreeBSD virtuel dans le KVM de Linux qui serait capable de lire et d'écrire un disque externe chiffré geli et de transférer les données vers un volume ext2 virtuel non chiffré à l'intérieur du système de fichiers chiffré LUKS de Linux (et dans l'autre sens) environ). Cependant, cela semble terriblement compliqué et ne semble pas vraiment être la bonne façon de le faire.

Y a-t-il des moyens meilleurs / plus faciles / plus préférables? Ou la manière expliquée ci-dessus est-elle actuellement la meilleure option possible?

Merci; J'apprécie toute réflexion à ce sujet.

linux encryption freebsd disk-encryption 0 portée
la source
2
La seule chose que je vois sur cette liste en.wikipedia.org/wiki/… qui est prise en charge sur les deux est eCryptFS en.wikipedia.org/wiki/ECryptfs, ce n'est pas un cryptage au niveau du bloc. Il s'agit d'une couche de système de fichiers.
Zoredache
1
Je voudrais plus tôt configurer une autre boîte avec mon système d'exploitation préféré pour servir et stocker les sauvegardes.
Ярослав Рахматуллин
Merci beaucoup à vous deux pour vos pensées. J'espère que dans le futur, quelqu'un portera LUKS sur FreeBSD ou geli sur Linux (je manque malheureusement à la fois les compétences / l'expérience de programmation nécessaires et le temps de les acquérir.)
0range

Réponses:

3

Établissons quelques hypothèses. Faites des commentaires si ceux-ci ne sont pas corrects.

  1. vous exécutez des machines avec différents systèmes d'exploitation et potentiellement différentes plates-formes.
  2. vous le décrivez pour le cas avec 2 machines, et Linux et FreeBSD
  3. vos machines utilisent des systèmes de fichiers cryptés
  4. vous souhaitez créer des sauvegardes de vos données et que ces sauvegardes soient également chiffrées
  5. vous souhaitez pouvoir accéder aux données de ces sauvegardes chiffrées à partir de n'importe quelle plate-forme contribuant à l'archive

(commentaire ajouté pour faire une distinction entre les formes de cryptage)

Vous mentionnez que vous souhaitez pouvoir accéder aux autres données des systèmes, à partir de la machine survivante. Une façon pourrait être de stocker des sauvegardes non cryptées, sur la machine locale, sur son système de fichiers crypté. Un autre pourrait être de stocker des sauvegardes chiffrées, sur la machine locale, sur un système de fichiers non chiffré. Je suggère de stocker des sauvegardes chiffrées, sur des systèmes de fichiers non chiffrés.

Cependant, en passant - il y a toujours un problème avec les sauvegardes cryptées: - vous devez vraiment faire attention à la clé - une corruption partielle tue généralement la sauvegarde entière

ma suggestion: utiliser

pour créer des sauvegardes sur un ou plusieurs conteneurs, les deux machines peuvent accéder.

Pour tout garder à l'intérieur de votre réseau local, vous pouvez:

  1. créer un système de fichiers de "sauvegarde" sur les deux hôtes, pour stocker les "packages" de sauvegarde cryptés. Il n'a pas besoin d'être un système de fichiers crypté, car les "packages" de sauvegarde (les crochets les appellent "morceaux") qui y sont stockés seront cryptés
  2. exporter ces systèmes de fichiers, par exemple avec NFS, et les monter sur les autres hôtes, respectivement
  3. lorsque vous créez des sauvegardes, sauvegardez-les dans le système de fichiers local et mettez-les en miroir dans le répertoire monté sur NFS sur l'autre hôte. Cela a pour effet secondaire d'avoir deux instances de vos fichiers de sauvegarde.

vous aurez maintenant les systèmes de fichiers suivants sur vos serveurs:

sur tux, votre machine Linux:

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

sur beastie, votre machine FreeBSD:

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

en fonction de la quantité de données que vous devez sauvegarder, vous pouvez également penser à un conteneur hors site, tout fournisseur de cloud le ferait. Je joue actuellement avec la configuration de mes conteneurs S3 pour que les vieux trucs vieillissent dans Glacier, ce qui semble très prometteur, en termes de prix.

Florenz Kley
la source
pas exactement. je n'ai pas besoin que ce soit bloc par bloc et je n'ai pas besoin qu'il soit sur réseau (bien que les outils que vous proposez semblent très intéressants). le problème est plutôt (comme cela avait été correctement compris par Zoredache et Ярослав Рахматуллин) que si l'un des systèmes tombe en panne pour une raison quelconque, j'ai besoin d'un moyen d'accéder aux sauvegardes. les sauvegardes doivent donc être stockées sur un système de fichiers chiffré (sur un autre disque) accessible aux deux systèmes. cela pose un problème car les systèmes de cryptage natifs et les systèmes de fichiers natifs de linux et de freebsd sont incompatibles. désolé de ne pas avoir répondu plus tôt.
0range
oh, et je dois mentionner que certaines de ces tarballs sont juste chiffrées manuellement pour moi en tant que destinataire PGP. Plus tard, les configurations plus intelligentes ont deux fichiers, une archive chiffrée avec une clé symétrique et la clé chiffrée avec PGP, toutes deux dans un autre tarball, afin que les fichiers ne soient pas perdus lors du transfert. Rien de tout cela n'est aussi bien automatisé que les scripts mentionnés, mais il a fait le travail.
Florenz Kley
Je n'ai jamais entendu parler de duplicité, mais cela ressemble exactement à ce que je recherche! Savez-vous quel âge a-t-il? Est-il stable? Je ne trouve aucune date de début du projet.
FCÉN
Duplicity [ duplicity.nongnu.org] existe depuis 2002, je l'utilise depuis ca. 2004.
Florenz Kley
@ 0range - nettoyé un peu la distinction "cryptage". Ce que je propose n'est pas bloc par bloc, c'est basé sur des fichiers. Suggérez d'utiliser des systèmes de fichiers non cryptés, car ils peuvent être lus par les deux systèmes. Stockez des sauvegardes chiffrées sur eux, eux aussi, peuvent être lus sur les deux plates-formes par les outils natifs respectifs. Cela devrait cocher la case concernant vos exigences, le chiffrement et la lisibilité, sur les deux plates-formes.
Florenz Kley
2

Duplicité - excellent outil pour cette tâche, utilise GPG pour le chiffrement. Je l'utilise depuis un certain temps et je le recommande vivement.

Comme alternatives, vous pouvez essayer:

  • obnam - est un nouveau projet, mais a de belles fonctionnalités (il est un peu lent si vous utilisez via ssh / scp)
  • burp - cryptage avec mot de passe
spinus
la source
voir mon commentaire sur la réponse de Florenz Kley ci-dessus. (et merci d'avoir suggéré ces outils)
0range
Désolé, je n'ai pu ajouter qu'un commentaire ici. Ces outils ne sont pas bloc par bloc, mais FS (vous pouvez sauvegarder FS et le restaurer même sur Windows). GPG est une norme de cryptage - il fonctionne également sur les deux. Ces programmes ne sont pas uniquement en réseau, vous pouvez sauvegarder de dir en dir. Ainsi, avec la duplicité, vous pouvez sauvegarder les deux machines et restaurer la sauvegarde cryptée partout où vous avez la duplicité et la clé GPG.
spinus
2

TrueCrypt devrait fonctionner à la fois sous Linux et FreeBSD. Bien que j'utilise régulièrement TrueCrypt uniquement sous Windows et que je n'ai pas essayé FreeBSD Truecrypt moi-même. YMMV.

Mikhail Kupchik
la source
1

Vous pouvez sauvegarder les fichiers de vos machines en utilisant ordinaire rsyncsur le disque dur des autres machines. Comme vous utilisez de toute façon le cryptage local, il est crypté avec le cryptage des systèmes locaux et la transmission est sécurisée par TLS. Les mises à jour sont rapides et vous vous en tenez à des mécanismes de chiffrement et de sauvegarde éprouvés.

Si vous avez juste à sauvegarder des fichiers sur un système non fiable, GPG ordinaire a bien fonctionné pour moi. J'ai automatisé le cryptage et le transfert FTP avec python, qui fonctionne bien depuis deux ans déjà.

Michael
la source