Windowsファイルシステムの権限を維持しながら暗号化されたバックアップを作成する最良の方法

Windowsファイルシステムの権限を維持しながら暗号化されたバックアップを作成する最良の方法

ホームネットワークの場合は、ディスク暗号化とNFSをサポートするNASを購入したいと思います。これは、バックアップ暗号化が重要であり、所有者、グループ、および権限(したがってNFS)を維持することが重要であるためです。このように、私は次のようなものを使用できると思いました。rsnapshotまたはrBackup私のデータをバックアップし、複数のスナップショットを撮ります。残念ながら、NFSと暗号化の両方をサポートするNASを見つけることができませんでした。したがって、NFSなしでNASを使用して(たとえば、NFSの代わりにCIFSを使用して)、この機能を取得できるかどうか疑問に思います。だから私は次の要件を満たすバックアップソリューションを探しています。

  • ローカルネットワークのNASへのバックアップ(例:ローカルUSBドライブを使用したくない)
  • 所有者、グループ、権限、およびシンボリックリンクも保存する必要があります。
  • 暗号化する必要があります
  • 利用可能な複数のスナップショットが必要ですrsnapshotrBackup
  • スナップショットファイルにアクセスするのは簡単です。
  • 遅すぎるべきではない

このタスクを詳細に行う方法についてのアイデアはありますか?

編集する: 私はこれまでの答えを要約しようとしていますが、いくつかのポイントを明確にするためにいくつかの追加の質問をしたいと思います。ターゲットデバイスに依存しないコンテナ、FUSE、またはその他の「偽」ファイルシステムを使用することが最も柔軟なオプションのようです。このアプローチでは、必要なすべてのバックアップスクリプトを使用でき、暗号化はクライアントCPUで実行されます。可能性は次のとおりです。

  • エンコードされたファイルシステム
  • 実際のパスワード
  • dmcrypt/luks
  • S3QL

S3QLを介して両方のクライアントで同時にNASを読み書きすることが可能かどうかはわかりません。他の方法では問題になりませんか?権限については、とにかくNFSで動作していることを確認する必要があります。たとえば、バックアップスクリプトを作成して保存できます。数値uid/gidを使用し、NASにユーザーをまったく設定しないでください。

EncFSはこれまでで最も簡単なソリューションのようです。 Truecrypt と dmcrypt/luks ではコンテナサイズを事前に選択する必要がありますが、これは EncFS または Truecrypt ほど柔軟ではないようです。しかし、これらのソリューションの間に読み書き性能と安定性に大きな違いはありますか?

これまでに述べたもう一つの興味深い方法は、それ自体を暗号化するバックアップスクリプトですduplicitygpg

答え1

私も確認してみます。S3QL。これはネットワークバックアップのための多くの興味深い機能を提供します。主にクラウドバックアップに使用されますが、次の目的にも使用できます。地域ネットワークたとえば、NFSを使用したり、SSHFS

バックアップにこのソフトウェアを使用する方法はあなた次第です。 S3QLは、いくつかの追加機能を備えたリモートファイルシステムにすぎません。

とにかくS3QLパッケージにはサンプルスクリプトこれを行う方法を学びます。基本的に行うことは、ソフトウェアの重複排除機能を利用して、日付を名前としてリモートディレクトリをバックアップし、バックアップが完了するたびに以前のバックアップのコピーを作成し、現在の日付に名前を変更することです。 rsync を使用すると、違いが新しいディレクトリにアップロードされます。データは複製されないため、必要な最小記憶領域のみを使用してバックアップが実行されたすべての日付の複数のディレクトリが作成されます。

編集する:(追加の質問に対する回答)

S3QLファイルシステムは一度に1つのクライアントでのみマウントできますが、この制限はEncFSおよびdmcrypt / lukにも適用されると想定しています。とにかく、これはあなたの要件を満たしていません。そうですか?これが新しい要件である場合は、NFSまたはCIFSやDuplicityなど、クライアントで暗号化を実行するいくつかのバックアップソフトウェアを引き続き使用できます。

答え2

可能NASボックスへのDebianのインストールそして、ハードドライブ全体を暗号化します。問題は、ほとんどのNASボックス(特にその記事のDNS-323のプロセッサ)のプロセッサが非常に遅く、ローカルディスク暗号化のためにプロセッサが非常に遅く応答しないことです。

別の解決策は、暗号化されていないNFS共有で暗号化されたtruecryptコンテナをホストすることです。その後、クライアントコンピュータにインストールし、暗号化されたコンテナ内で必要なバックアップ方法を使用できます。これにより、サーバーが暗号化計算を実行する必要がなくなります。

3番目のオプションは、次を使用することです。二重性権限とシンボリックリンクを維持しながら、暗号化されていないファイルシステムの暗号化された増分バックアップを作成します。 rsyncと非常によく似ていますが、データはPGPを使用して暗号化されます。欠点は、バックアップの保存方法があまり透明ではないため、特定のファイルの以前のバージョンにアクセスするのはやや簡単ではないということです。

私は個人的に暗号化されていないRAIDでDebianを実行するD-Link DNS-323を使用し、二重にバックアップします。完璧なソリューションではありませんが、PC全体をバックアップサーバーとして実行せずに見つけたものの中で最高です。私はtruecryptについてまともな経験を持っていますが、毎回別々のコンテナをインストールする必要があるため、二重性のように簡単にプロセスを自動化することは困難です。

答え3

あなたはそれを使用することができますエンコードされたファイルシステムNFSの上

encfs /encrypted_place_at_nfs /mnt/place_to_access_it_unencrypted

答え4

Linuxを使用しているので、dmcrypt/luksを使用できます。

Red-Hatに似たシステム(Fedoraを含む)

yum install cryptsetup-luks luks-tools

これにより、いくつかのluksコマンドが提供されます。

これで、NASデバイスにコンテナを作成する必要があります(/ mntに読み取り/書き込みがマウントされていると仮定)。

# Create a sparse file
dd if=/dev/zero of=/mnt/cryptdisk.dat seek=2G bs=1 count=1
# Create a key
dd if=/dev/urandom of=/root/crypt.key bs=1 count=2048
# Assign a device
losetup -a /dev/loop0 /mnt/cryptdisk.dat
# Encrypt device
cryptsetup luksFormat /dev/loop0 /root/crypt.key
# Create mapping to an encrypted device
cryptsetup luksOpen /dev/loop0 cryptdev -d /root/crypt.key

今あなたは/dev/mapper/cryptdevパーティションのように使用できます(例:ext3でフォーマット、マウントなど)。

目的に合わせてマウントされたパーティションを使用してください。

追加資料: man cryptsetupman losetup

関連情報