Backup криптованного тома

dartsergius	# 6 лет, 3 месяца назад
Темы: 18 Сообщения: 238 Участник с: 15 декабря 2011	Доброе время суток. Хочу спросить у вас совета. Есть у меня на компе lxc контейнер. И там хранятся важные для меня данные + могут храниться данные, которые могут сильно подставить меня перед органами правопорядка. Поэтому я завернул её в криптоконтейнер. Итак - имеем - криптоконтейнер в 10 GB, и 22 GB на яндекс диске. Хотим как-то бекапить на яндекс диске. Яндекс диск примонтировал, LUKS точку монтирования настроил. Как мне адекватно забекапить? Пока вижу только 1 вариант прописать такой скрипт: `cd /mnt/backup #save last backup mv currentBackup.ext4.luks oldBackup.ext4.luks #stop lxc container lxc-stop -n $lxcContainer #wait flushing buffers sync #tar ? cp /lxcDisk.ext4.luks currentBackup.ext4.luks #wait flush to yandex disk sync #restart container lxc-start -n $lxcContainer` Или это плохой вариант? Есть ещё какие-нить варианты бекапа криптоконтейнеров? Сможет ли tar пожать такой криптоконтейнер, если он был сразу заполнен с помощью /dev/urandom ?

# 6 лет, 3 месяца назад

Сообщения: 238

Участник с: 15 декабря 2011

Доброе время суток.
Хочу спросить у вас совета. Есть у меня на компе lxc контейнер. И там хранятся важные для меня данные + могут храниться данные, которые могут сильно подставить меня перед органами правопорядка. Поэтому я завернул её в криптоконтейнер.
Итак - имеем - криптоконтейнер в 10 GB, и 22 GB на яндекс диске.
Хотим как-то бекапить на яндекс диске.
Яндекс диск примонтировал, LUKS точку монтирования настроил. Как мне адекватно забекапить?
Пока вижу только 1 вариант прописать такой скрипт:


cd /mnt/backup
#save last backup
mv currentBackup.ext4.luks oldBackup.ext4.luks
#stop lxc container
lxc-stop -n $lxcContainer
#wait flushing buffers
sync
#tar ?
cp /lxcDisk.ext4.luks currentBackup.ext4.luks
#wait flush to yandex disk
sync
#restart container
lxc-start -n $lxcContainer

Или это плохой вариант? Есть ещё какие-нить варианты бекапа криптоконтейнеров? Сможет ли tar пожать такой криптоконтейнер, если он был сразу заполнен с помощью /dev/urandom ?

wau	# 6 лет, 3 месяца назад (отредактировано 6 лет, 3 месяца назад)
Темы: 132 Сообщения: 960 Участник с: 11 октября 2013	dartsergius Доброе время суток. подставить меня перед органами правопорядка. Поэтому я завернул её в криптоконтейнер. Или это плохой вариант? Есть ещё какие-нить варианты бекапа криптоконтейнеров? Сможет ли tar пожать такой криптоконтейнер, если он был сразу заполнен с помощью /dev/urandom ? Несомненно, именно так, честно, без страха и упрека с открытым забралом следует декларировать свои противоправные цели в целях облегчения работы системы обеспечения действующей системы "правопорядка". И, конечно, бэкап хранить там же, где и криптоконейнер, а не, скажем, где угодно на стороне, включая тот же дропобокс или свой сервер за территорией РФ, где совершенно точно вы не будуте хранить какие-либо персональные данные и где можно развернуть (применить) хотябы curlftp или что-то подобное, с чем уже можно синхронизироваться по ssh хоть rsync, хоть unison. Сихронизировать любой криптоконтейнер целиком дело накладное - он со временем становится большим, десятки гигабайт, всегда будет риск повреждения 1 большого файла с потерей разом всего против риска повреждения 1 маленького файла из их совокупности ХХХ с потерей лишь этого 1 файла (да хоть при ошибке при разрыве связи - ничто нельзя исключить).

wau

# 6 лет, 3 месяца назад (отредактировано 6 лет, 3 месяца назад)

Темы: 132

Сообщения: 960

Участник с: 11 октября 2013

dartsergius
Доброе время суток.
подставить меня перед органами правопорядка. Поэтому я завернул её в криптоконтейнер.

Или это плохой вариант? Есть ещё какие-нить варианты бекапа криптоконтейнеров? Сможет ли tar пожать такой криптоконтейнер, если он был сразу заполнен с помощью /dev/urandom ?

Несомненно, именно так, честно, без страха и упрека с открытым забралом следует декларировать свои противоправные цели в целях облегчения работы системы обеспечения действующей системы "правопорядка". И, конечно, бэкап хранить там же, где и криптоконейнер, а не, скажем, где угодно на стороне, включая тот же дропобокс или свой сервер за территорией РФ, где совершенно точно вы не будуте хранить какие-либо персональные данные и где можно развернуть (применить) хотябы curlftp или что-то подобное, с чем уже можно синхронизироваться по ssh хоть rsync, хоть unison.
Сихронизировать любой криптоконтейнер целиком дело накладное - он со временем становится большим, десятки гигабайт, всегда будет риск повреждения 1 большого файла с потерей разом всего против риска повреждения 1 маленького файла из их совокупности ХХХ с потерей лишь этого 1 файла (да хоть при ошибке при разрыве связи - ничто нельзя исключить).

dartsergius	# 6 лет, 3 месяца назад
Темы: 18 Сообщения: 238 Участник с: 15 декабря 2011	wau без страха и упрека с открытым забралом следует декларировать свои противоправные цели в целях облегчения работы системы обеспечения действующей системы "правопорядка" я сам не собираюсь - но доступ к серваку будет не только у меня - а за данные этих людей я поручиться не могу + если кто-то захочет подставить... wau Сихронизировать любой криптоконтейнер целиком дело накладное - он со временем становится большим, десятки гигабайт другими словами надо делать рейд и не выделываться?

dartsergius

# 6 лет, 3 месяца назад

Темы: 18

Сообщения: 238

Участник с: 15 декабря 2011

wau
без страха и упрека с открытым забралом следует декларировать свои противоправные цели в целях облегчения работы системы обеспечения действующей системы "правопорядка"

я сам не собираюсь - но доступ к серваку будет не только у меня - а за данные этих людей я поручиться не могу + если кто-то захочет подставить...

wau
Сихронизировать любой криптоконтейнер целиком дело накладное - он со временем становится большим, десятки гигабайт

другими словами надо делать рейд и не выделываться?

vasek	# 6 лет, 3 месяца назад (отредактировано 6 лет, 3 месяца назад)
Темы: 48 Сообщения: 11332 Участник с: 17 февраля 2013	dartsergius другими словами надо делать рейд и не выделываться? А может лучше пересмотреть сам способ ….... Многие отказались от использования TrueCrypt ….... и зря ….. вся эта возня с его дескридитацией была затеяна только с одной целью — его уничтожения (т. к. компания отказалась от сотрудничества с …... ) ... и лучшего ничего нет ... Подумай насчет контейнеров с его использованием. Вдобавок имеется несколько серверных облаков, которые умеют осуществлять синхронизацию с такими контейнерами, т. е. будут скачиваться только изменённые блоки контейнера — а TrueCrypt шифрует файл блоками по 128 бит и синхронизироваться будут только те блоки, которые изменились в результате шифрования информации. Но для особо ценной информации лучше использовать 2-х эшелонированную защиту, построенную на разных принципах (но здесь могут быть нюансы с синхронизацией с облаком …. и здесь я ничего сказать не могу, не сталкивался .... просто не доверяю этим серверам). Но, обычно, объем такой особо важной информации не велик и контейнеры делают небольшими, для удобства применения 2 рубежа защиты ….. и можно будет копировать их целиком …. Ну и также можно посмотреть в сторону специальных облачных серверов, например, эти …. но работают ли они с Linux, не знаю … но, имхо, все это уступает TrueCrypt ... Ошибки не исчезают с опытом - они просто умнеют

vasek

# 6 лет, 3 месяца назад (отредактировано 6 лет, 3 месяца назад)

Темы: 48

Сообщения: 11332

Участник с: 17 февраля 2013

dartsergius
другими словами надо делать рейд и не выделываться?

А может лучше пересмотреть сам способ …....
Многие отказались от использования TrueCrypt ….... и зря ….. вся эта возня с его дескридитацией была затеяна только с одной целью — его уничтожения (т. к. компания отказалась от сотрудничества с …... ) ... и лучшего ничего нет ...
Подумай насчет контейнеров с его использованием. Вдобавок имеется несколько серверных облаков, которые умеют осуществлять синхронизацию с такими контейнерами, т. е. будут скачиваться только изменённые блоки контейнера — а TrueCrypt шифрует файл блоками по 128 бит и синхронизироваться будут только те блоки, которые изменились в результате шифрования информации.
Но для особо ценной информации лучше использовать 2-х эшелонированную защиту, построенную на разных принципах (но здесь могут быть нюансы с синхронизацией с облаком …. и здесь я ничего сказать не могу, не сталкивался .... просто не доверяю этим серверам). Но, обычно, объем такой особо важной информации не велик и контейнеры делают небольшими, для удобства применения 2 рубежа защиты ….. и можно будет копировать их целиком ….
Ну и также можно посмотреть в сторону специальных облачных серверов, например, эти …. но работают ли они с Linux, не знаю … но, имхо, все это уступает TrueCrypt ...

Ошибки не исчезают с опытом - они просто умнеют

wau	# 6 лет, 3 месяца назад
Темы: 132 Сообщения: 960 Участник с: 11 октября 2013	dartsergius Сихронизировать любой криптоконтейнер целиком дело накладное - он со временем становится большим, десятки гигабайт другими словами надо делать рейд и не выделываться? всего 3 составляющие - 1. что у себя? 2. где хранить? 3. как спаривать? п. 3 следует из п. 2. сперва все наладить на своей машине, скорее всего это LUKS шифрование всего раздела, отлинковав с него все возможные директории (будь то пользовательские данные анклоада, будь то tmp чего-то вроде браузера) и пр. Затем продумать куда лить бэкап. Если есть клиенты = есть деньги. Арендовать где-то далеко недорогой сервер, поднять на нем тот же LUKS и синхронизировать силами unisin (это тот же rsync, только "оскриптованный" и обеспечивающий реальную двустороннюю синхронизацию). Если это недоделки типа dropbox, то поверх curlftp ну и т.д.

wau

# 6 лет, 3 месяца назад

Темы: 132

Сообщения: 960

Участник с: 11 октября 2013

dartsergius
Сихронизировать любой криптоконтейнер целиком дело накладное - он со временем становится большим, десятки гигабайт

другими словами надо делать рейд и не выделываться?

всего 3 составляющие -
1. что у себя?
2. где хранить?
3. как спаривать?

п. 3 следует из п. 2.

сперва все наладить на своей машине, скорее всего это LUKS шифрование всего раздела, отлинковав с него все возможные директории (будь то пользовательские данные анклоада, будь то tmp чего-то вроде браузера) и пр. Затем продумать куда лить бэкап. Если есть клиенты = есть деньги. Арендовать где-то далеко недорогой сервер, поднять на нем тот же LUKS и синхронизировать силами unisin (это тот же rsync, только "оскриптованный" и обеспечивающий реальную двустороннюю синхронизацию). Если это недоделки типа dropbox, то поверх curlftp ну и т.д.

dartsergius	# 6 лет, 3 месяца назад
Темы: 18 Сообщения: 238 Участник с: 15 декабря 2011	wau 1. что у себя? 2. где хранить? 1) храниться весь lxc контейнер - т.е. весь rootfs + конфиг виртуалки. 2) так как это уже криптоконтейнер, то хранить можно совершенно везде, но я хочу хранить на том же самом яндекс диске(полноценный webdav fs). wau сперва все наладить на своей машине, скорее всего это LUKS шифрование всего раздела LUKS шифрование файла, который монтируется в нужную папку. А вот держать на vps криптоконтейнеры считаю как минимум глупым. Хостеры с радостью дадут дамп оперативной памяти в случае чего. Попробую сделать через rdiff + раз в месяц обновлять "исходный файл" и сигнатуры.

dartsergius

# 6 лет, 3 месяца назад

Темы: 18

Сообщения: 238

Участник с: 15 декабря 2011

wau
1. что у себя?
2. где хранить?

1) храниться весь lxc контейнер - т.е. весь rootfs + конфиг виртуалки.
2) так как это уже криптоконтейнер, то хранить можно совершенно везде, но я хочу хранить на том же самом яндекс диске(полноценный webdav fs).

wau
сперва все наладить на своей машине, скорее всего это LUKS шифрование всего раздела

LUKS шифрование файла, который монтируется в нужную папку.
А вот держать на vps криптоконтейнеры считаю как минимум глупым. Хостеры с радостью дадут дамп оперативной памяти в случае чего.

Попробую сделать через rdiff + раз в месяц обновлять "исходный файл" и сигнатуры.

nafanja	# 6 лет, 3 месяца назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	могу посоветовать заюзать encfs, файлы хранятся не в зашифрованном контейнере, а каждый зашифрован отдельно, что значительно упрощает синхрониацию с удаленным хранилищем. Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 6 лет, 3 месяца назад

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

могу посоветовать заюзать encfs, файлы хранятся не в зашифрованном контейнере, а каждый зашифрован отдельно, что значительно упрощает синхрониацию с удаленным хранилищем.

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874