Лучшая практика для резервного копирования зашифрованного устройства LUKS

Что самое быстрый способ для резервного копирования и восстановление lüks зашифрованного устройства (например, полное зашифрованы USB-устройство в образе-файл).

USB-устройство может быть расшифровано / доступно . Я ищу решение для монтирования образа резервной копии в виде файла (зашифрованного). Это возможно?

Держать его просто глупо.

cryptsetupобрабатывает файлы изображений так же, как блокирует устройства, если это был ваш вопрос. Так что, если вы сделаете ddизображение (которое будет невероятно огромным), оно будет работать. А если этого не произойдет, вы можете просто создать петлевое устройство самостоятельно.

Лучшая практика (если вы хотите сохранить резервную копию в зашифрованном виде) также заключается в том, чтобы также зашифровать диск резервной копии, затем открыть оба контейнера, а затем запустить любое решение для резервного копирования по вашему выбору, как если бы вы использовали незашифрованные файловые системы. Это не будет самый быстрый метод, поскольку он расшифровывает данные с исходного диска, а затем повторно шифрует его для резервного диска. С другой стороны, он допускает решения для инкрементного резервного копирования, поэтому он все равно должен побеждать dd-image-creation в среднем.

Если вы хотите придерживаться этого dd, единственный способ сделать что-то быстрее, чем ddкакой-либо, partimageкоторый принимает во внимание заголовок LUKS и смещение, поэтому он будет хранить только зашифрованные данные, которые фактически используются файловой системой.

Если исходный диск является SSD и вы разрешаете TRIM внутри LUKS, а SSD показывает обрезанные области как нули, вы получаете это поведение бесплатно с помощью dd conv=sparse. Это все еще не то, что я бы порекомендовал, хотя.

Самый простой способ - сделать резервную систему независимой от системы шифрования. Создайте зашифрованный том для резервной копии. Смонтируйте как исходный том, так и резервный том, и запустите ваше любимое программное обеспечение для резервного копирования на уровне файловой системы.

Помимо простоты, преимущество этого метода состоит в том, что резервный том не должен иметь тот же размер и содержание, что и исходный. Вы можете выполнить резервное копирование в подкаталог, сделать резервные копии и т. Д.

Есть также очень небольшое преимущество в безопасности. Если злоумышленник захватывает вашу резервную копию и находит ваш пароль, а том резервной копии является прямой копией зашифрованного тома, вам необходимо повторно зашифровать исходный том. Если том резервной копии независимо зашифрован, достаточно изменить пароль на исходном томе.

Что я сделал

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>