Надежно монтируя удаленный раздел LUKS при начальной загрузке

Question 1

Я испытываю затруднения при установке системы для резервного копирования нескольких компьютеров, они имеют несколько разделов, которые являются LVM на LUKS, и сервер не имеет никакого шифрования диска. Мой компьютер шифруется, и я доволен хранением ключей на нем, но я не нахожу хороших способов сделать так. Разделы расположены на сетевом диске и должны быть автоматически смонтированы при начальной загрузке в клиентской системе. Сервер не должен помнить ключ за пределами RAM, если это возможно. Сервер и мой компьютер находятся на 18,10.

Править: Сервер не должен иметь доступа к данным если вообще возможный.

Редактирование 2: системное расположение является https://m.imgur.com/a/pMX3o1e.

Question 2

Вы спрашиваете, как получить доступ к зашифрованному диску LUKS удаленно без сервера, имеющего доступ к данным. Я проигнорирую, что, потому что это, вероятно, не, что Вы хотите. Вы хотите зашифрованные резервные копии, не доступ уровня зашифрованного блока к удаленному диску.

Обычно существует два пути, которыми я пошел бы об этом это:

Используйте файловую систему шифрования.
Зашифруйте резервное копирование в резервной программе.

Файловая система с шифрованием

Это довольно нейтральный. Любое содержание, спрятавшее на виртуальную файловую систему, будет зашифровано, прежде чем быть сохраненным. Доступ к сети может быть выполнен через, например, Samba или NFS, sshfs, или любая другая техника для того, чтобы удаленно получить доступ к файловой системе.

encfs хорошая виртуальная файловая система шифрования. Можно установить его с sudo apt install encfs

Для создания виртуальной, зашифрованной файловой системы выполните следующее в терминале

encfs /path/to/mounted/remote/storage ~/encrypted_storage

Это запустит мастер, который позволяет Вам настроить устройство хранения данных. Когда это создается и монтируется, что-либо, что Вы вставляете ~/encrypted_storage будет зашифрован перед тем, чтобы на самом деле быть записанным в диск. Шифрование произойдет на машине, которую Вы выполнили encfs- команда на.

К umount это работает fusermount -u ~/encrypted_storage.

Для монтирования его снова просто выполните исходную команду, используемую для создания его, и это обнаружит его как существующий FS и попросит пароль.

Зашифруйте данные резервного копирования

По-моему, это - лучшее решение. Тем более, что дубликат поддерживает устойчивое шифрование, позволяя и AES-256 и GPG как параметры шифрования. GPG является довольно хорошо исследуемым программным обеспечением, мудрая безопасность.

Кроме того, это делает это тривиальным для перемещения резервного копирования на других резервных поставщиков, например, BackBlaze, Amazon S3 или любого другого сервиса: как данные резервного копирования самостоятельно шифруется, Вы не должны волноваться о своем поставщике. Сервер не будет иметь доступа к Вашим сохраненным данным, только метаданные, такой как тогда, когда последнее резервное копирование было выполнено, размер и какая система резервного копирования использовалась. Эти метаданные будут доступны серверу так или иначе.

Если Вы действительно хотите LUKS для удаленных объемов, взглянули на iSCSI. Это - намного больше работы для установки, намного менее гибкий, и вероятно не, что Вы хотите.

vidarlo · Answer 1 · 25 October 2019 в 23:46

Вы спрашиваете, как получить доступ к зашифрованному диску LUKS удаленно без сервера, имеющего доступ к данным. Я проигнорирую, что, потому что это, вероятно, не, что Вы хотите. Вы хотите зашифрованные резервные копии, не доступ уровня зашифрованного блока к удаленному диску.

Обычно существует два пути, которыми я пошел бы об этом это:

Используйте файловую систему шифрования.
Зашифруйте резервное копирование в резервной программе.

Файловая система с шифрованием

Это довольно нейтральный. Любое содержание, спрятавшее на виртуальную файловую систему, будет зашифровано, прежде чем быть сохраненным. Доступ к сети может быть выполнен через, например, Samba или NFS, sshfs, или любая другая техника для того, чтобы удаленно получить доступ к файловой системе.

encfs хорошая виртуальная файловая система шифрования. Можно установить его с sudo apt install encfs

Для создания виртуальной, зашифрованной файловой системы выполните следующее в терминале

encfs /path/to/mounted/remote/storage ~/encrypted_storage

Это запустит мастер, который позволяет Вам настроить устройство хранения данных. Когда это создается и монтируется, что-либо, что Вы вставляете ~/encrypted_storage будет зашифрован перед тем, чтобы на самом деле быть записанным в диск. Шифрование произойдет на машине, которую Вы выполнили encfs- команда на.

К umount это работает fusermount -u ~/encrypted_storage.

Для монтирования его снова просто выполните исходную команду, используемую для создания его, и это обнаружит его как существующий FS и попросит пароль.

Зашифруйте данные резервного копирования

По-моему, это - лучшее решение. Тем более, что дубликат поддерживает устойчивое шифрование, позволяя и AES-256 и GPG как параметры шифрования. GPG является довольно хорошо исследуемым программным обеспечением, мудрая безопасность.

Кроме того, это делает это тривиальным для перемещения резервного копирования на других резервных поставщиков, например, BackBlaze, Amazon S3 или любого другого сервиса: как данные резервного копирования самостоятельно шифруется, Вы не должны волноваться о своем поставщике. Сервер не будет иметь доступа к Вашим сохраненным данным, только метаданные, такой как тогда, когда последнее резервное копирование было выполнено, размер и какая система резервного копирования использовалась. Эти метаданные будут доступны серверу так или иначе.

Если Вы действительно хотите LUKS для удаленных объемов, взглянули на iSCSI. Это - намного больше работы для установки, намного менее гибкий, и вероятно не, что Вы хотите.

Надежно монтируя удаленный раздел LUKS при начальной загрузке

1 ответ

Файловая система с шифрованием

Зашифруйте данные резервного копирования

Другие вопросы по тегам:

Похожие вопросы: