Лучшая практика для резервного копирования шифруемого устройства LUKS

Мог быть ACLs. Посмотрите

getfacl the-file

Мог быть то, что по некоторым причинам, группы Вы предназначены, чтобы быть в, правильно не установлен. Свериться

id -a

Что относительно

namei -xl "$(readlink -f the-file)"

getfattr -dm- the-file

sudo lsattr the-file

Каков тип файловой системы, в которой он находится?

Какой-либо apparmor, SELinux или какое-либо другое мандатное управление доступом на месте в системе?

Вы уверены, что файл не содержит текст "Разрешение, отклоненное", право ;-)?

15
20.11.2013, 12:50
3 ответа

cryptsetup файлы изображений дескрипторов точно так же как блочные устройства, если это было Вашим вопросом. Таким образом, если Вы делаете a dd изображение (который будет чертовски огромен) это будет работать. И если бы это не сделало, то Вы могли бы просто создать циклическое устройство сами.

Лучшая практика (если Вы хотите сохранить резервное копирование зашифрованным) должна зашифровать диск с резервной копией также, затем открыть оба контейнера, затем выполнить любое решение для резервного копирования по Вашему выбору, как Вы были бы с незашифрованными файловыми системами. Это не будет самый быстрый метод, поскольку это дешифровало бы данные из исходного диска и затем повторно зашифровало бы его для диска с резервной копией. С другой стороны, это допускает решения для инкрементного резервного копирования, таким образом, это должно все еще разбить dd-создание-изображений в среднем.

Если Вы хотите придерживаться dd, единственный способ сделать что-то быстрее, чем dd был бы a partimage своего рода, который принимает во внимание заголовок LUKS и смещение, таким образом, это только сохранило бы зашифрованные данные, который на самом деле используется файловой системой.

Если исходным диском является SSD, и Вы позволяете ОБРЕЗКУ в LUKS, и шоу SSD обрезали регионы, как обнуляет, Вы получаете это поведение бесплатно с dd conv=sparse. Это все еще не что-то, что я рекомендовал бы, все же.

10
27.01.2020, 19:49
  • 1
    +1 Превосходный ответ, Вы - настоящий маэстро гну/Linux! –  mate64 20.11.2013, 16:54

Самый простой метод должен сделать систему резервного копирования независимой от системы шифрования. Создайте зашифрованный том для резервного копирования. Смонтируйте и исходный объем и том резервного копирования, и выполните свое любимое программное обеспечение для резервного копирования уровня файловой системы.

Помимо простоты, преимущество с этим методом состоит в том, что том резервного копирования не должен иметь того же размера и содержания как оригинал. Можно отступить до подкаталога, можно сделать возрастающие резервные копии и т.д.

Существует также очень небольшое преимущество безопасности. Если взломщик захватит Ваше резервное копирование и найдет Ваш пароль, и том резервного копирования является прямой копией зашифрованного тома, то необходимо будет повторно зашифровать исходный объем. Если том резервного копирования независимо зашифрован, достаточно изменить пароль на исходном объеме.

7
27.01.2020, 19:49

Что я сделал

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>
4
27.01.2020, 19:49

Теги

Похожие вопросы