GNU/Linux >> Tutoriels Linux >  >> Linux

Meilleure pratique pour sauvegarder un appareil crypté LUKS

cryptsetup gère les fichiers image aussi bien que les périphériques de bloc, si telle était votre question. Donc si vous faites un dd image (qui sera énorme), cela fonctionnera. Et si ce n'était pas le cas, vous pourriez simplement créer vous-même le périphérique de boucle.

La meilleure pratique (si vous souhaitez que la sauvegarde reste chiffrée) consiste à chiffrer également le disque de sauvegarde, puis à ouvrir les deux conteneurs, puis à exécuter la solution de sauvegarde de votre choix comme vous le feriez avec des systèmes de fichiers non chiffrés. Ce ne sera pas la méthode la plus rapide car elle déchiffrera les données du disque source, puis les chiffrera à nouveau pour le disque de sauvegarde. D'un autre côté, il permet des solutions de sauvegarde incrémentielles, il devrait donc toujours battre le dd-image-creation en moyenne.

Si vous voulez vous en tenir à dd , le seul moyen de faire quelque chose de plus rapide que dd serait un partimage qui prend en compte l'en-tête et l'offset LUKS, de sorte qu'il ne stocke que les données chiffrées réellement utilisées par le système de fichiers.

Si le disque source est un SSD et que vous autorisez TRIM dans LUKS, et que le SSD affiche les régions découpées sous forme de zéros, vous obtenez ce comportement gratuitement avec dd conv=sparse . Ce n'est toujours pas quelque chose que je recommanderais, cependant.


La méthode la plus simple consiste à rendre le système de sauvegarde indépendant du système de chiffrement. Créez un volume chiffré pour la sauvegarde. Montez à la fois le volume d'origine et le volume de sauvegarde, et exécutez votre logiciel de sauvegarde préféré au niveau du système de fichiers.

Outre la simplicité, un avantage de cette méthode est que le volume de sauvegarde n'a pas besoin d'avoir la même taille et le même contenu que l'original. Vous pouvez sauvegarder dans un sous-répertoire, vous pouvez effectuer des sauvegardes incrémentielles, etc.

Il y a aussi un très léger avantage de sécurité. Si un attaquant saisit votre sauvegarde et trouve votre mot de passe, et que le volume de sauvegarde est une copie directe du volume chiffré, vous devrez rechiffrer le volume d'origine. Si le volume de sauvegarde est chiffré indépendamment, il suffit de changer le mot de passe sur le volume d'origine.


Ce que j'ai fait

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>

Linux

  1. Créer un coffre-fort de fichiers chiffré sous Linux

  2. Installer Duplicity sur Ubuntu 20.04 - Meilleure méthode ?

  3. Comment Nuke votre installation Kali cryptée

  4. meilleure pratique pour l'autorisation d'accès aux utilisateurs pour apache tomcat

  5. Meilleur ordre de RAID, LVM et LUKS

Créer une sauvegarde des données stockées dans une machine virtuelle Linux

Meilleures pratiques pour sécuriser votre serveur Web Apache

Sauvegarde et restauration d'instantanés LVM sous Linux

Quel outil de sauvegarde local est le meilleur sous Linux ?

Les 15 meilleurs logiciels de sauvegarde pour Linux Desktop

Comment faire une sauvegarde cryptée de type rsync ?