Шифрование бэкапов базы на сервере

Правильный ли это алгоритм, ничего не упущено?

В смысле правильно ли заливать зашифрованные бекапы в общественные облачные хранилища? Да, многие так делают. Но надо учитывать, что у некоторых загрузка зашифрованых файлов запрещена.

Шифрование — просто взять мой локальный публичный ключ rsa, скопировать на сервер и шифровать каждый бэкап?

Грубо говоря да, но обычно всё же используют высокоуровневые инструменты типа gpg.

в какой формате делать бэкап: custom, directory....?

Поясни.

шифруй симметричным, асимметричное шифрование слишком медленное

Поясни.

У pg_dump есть несколько форматов, в которых она делает бэкапы.

1 минута или 2, тем более что всё в фоне делается — какая разница?

А, ну это уж как тебе удобнее, для шифрования всё равно.

Обычно используются оба одновременно, асимметричный алгоритм для шифрования симметричного ключа, симметричный для шифрования данных.

1 минута или 2, тем более что всё в фоне делается — какая разница?

Тут разница будет на уровне 1 минута и 1 час

Обычно используются оба одновременно, асимметричный алгоритм для шифрования симметричного ключа, симметричный для шифрования данных.

Ну ключ-то передавать никуда не надо, только данные, поэтому незачем его шифровать

Но надо учитывать, что у некоторых загрузка зашифрованых файлов запрещена.

Интересен критерий определения зашифрованного файла. Разница между шифр-текстом, и допустим архивным файлом высокой степени сжатия, или медиаданными практически нулевая.

Это ты к чему?

Метаданные же.

Это ты к чему?

Как это к чему? У него есть бэкапы, он их шифрует и складывает куда-то на хранение. Ключ он никуда не складывает, а держит в голове, поэтому его шифровать не надо. А ты о чем подумал?

Как он по крону будет ключ из головы доставать?
UPD: а, ну да, cat /dev/brain > /tmp/key.txt

Там, откуда он будет делать бэкапы, и так все лежит в незашифрованном виде. Поэтому симметричный ключ нет смысла шифровать.

2) Шифрование — просто взять мой локальный публичный ключ rsa, скопировать на сервер и шифровать каждый бэкап?

шифровать нужно ДО публикации, а не на чужом сервере

https://wiki.archlinux.org/index.php/EncFS#Encrypted_backup

какой ещё публикации? бэкапы делаются на сервере, там же и шифруется. потом заливается в дропбокс. как ты будешь шифровать локально и какой в этом смысл?

такая большая разница? это для какого размера файла?

ну всё равно — всё в фоне, пофигу, думаю.

Размер файла варьируется в зависимости от мощности процессора. Но, в любом случае, асимметрично он будет зашифровываться минимум на пару порядков дольше, чем симметрично.

а пароль-то нужно будет где-то хранить на сервере для симметричного шифрования. не секьюрно.

Как будто кто-то использует асимметричное шифрование в чистом виде

Что за ересь, асимметричные ключи используются только для создания сессионного симметричного, он упаковывается вместе с шифрованными данными и распаковывается перед расшифровкой данных, асимметричное шифрование применяется только к нему

Ну... Я делаю проще: есть физический шифрованный LUKS диск.

По утрам подключаю его по USB, сливаю на него уже готовые ночные бэкапы скриптом по SSHFS, кладу диск в сейф.

а пароль-то нужно будет где-то хранить на сервере для симметричного шифрования. не секьюрно.

То, что на этом же сервере будут незашифрованные исходные бд, тебя не смущает?

почему незашифрованные? они будут шифроваться. а сама база под паролем.

я в таких делах новичок. это - нифига не проще. как это сделать? есть ли хорошая статья или куда копать?

Грубо говоря да, но обычно всё же используют высокоуровневые инструменты типа gpg.

ok. но у вопрос скорее — мне этот публичный ключ можно просто с **локального** компа импортировать на сервер? то есть, на сервере его не надо генерить по-новой?

почему незашифрованные? они будут шифроваться.

Ты будешь шифровать только дампы. Сами файлы базы зашифрованы не будут.

а сама база под паролем.

Пароль можно легко сбросить, после чего все можно будет сдампить.

Что сделать? LUKS ? погугли

SSHFS ? погугли

Скрипт - элементарный. Монтируем LUKS диск к себе, цепляем по SSHFS удаленные серверы, копируем с них содержимое /backup на подмонтированный LUKS-диск, после чего оное содержимое с удаленных серверов удаляем и всё подмонтированное - отключаем.

USB-коробку с LUKS-диском кладём в сейф и забываем про него до следующей итерации.

Да.

как-то сложно. почему просто нельзя шифровать моим локальным публичным rsa ключом, который я закину на сервер, через gpg?

Можно, не слушай толстяка.

Да делай как хочешь. Я ж тебя не заставляю.

кстати, этот способ интересный. можно ли его использовать чтобы **полностью зашифровать всё** на моём vps, чтобы даже хостер не мог посмотреть что там? то есть, вообще всё, включая сам сайт — я слышал про такое.

если да, то как — так как ты описал или что ещё нужно будет?

или такое можно сделать только на дедике?

Да делай как хочешь. Я ж тебя не заставляю.

не, я просто хочу узнать какие плюсы и минусы.

**полностью зашифровать всё** на моём vps, чтобы даже хостер не мог посмотреть что там

В принципе, можно зашифровать виртуальные диски (наверное, не у всех типов VPSок).

Однако, надо понимать, что хостер-то управляет физическим хостом, на котором запущена вирта и, теоретически, может извлечь ключ шифрования из оперативки этого хоста.