LINUX.ORG.RU

Backup зашифрованных разделов LUKS

 , , ,


1

1

Образ всего зашифрованного раздела можно сделать, без проблем. Но как сделать такой образ, чтобы из 160 Гб, к примеру, записались в образ только реальные 15 Гб данных (остальные 145 Гб не заполнены). Clonezilla может это делать, но только не с зашифрованными разделами, как я понял. Это возможно или противоречит самой природе шифрованных разделов? Правильно ли я понял, что в шифрации данных участвует всё выделенное место под раздел?

Если я прав, то это обратная сторона медали шифрованных разделов - придётся тупо копировать всё пространство(.

После открытия шифрованного раздела у тебя появляется незашифрованное блочное устройство в /dev/mapper. Можешь делать его backup, если тебе нужен backup именно раздела.

А вообще покажи вывод lsblk.

Pravorskyi ()
Ответ на: комментарий от anonymous

В том-то и дело, что у меня как раз lvm.

sdb                                             8:16   0 596.2G  0 disk  
├─sdb1                                          8:17   0   953M  0 part  
└─sdb2                                          8:18   0 595.2G  0 part  
  ├─MyNewLVMGroup-swap                        253:1    0   3.7G  0 lvm   
  ├─MyNewLVMGroup-root                        253:2    0  93.1G  0 lvm   
  └─MyNewLVMGroup-home                        253:3    0 498.4G  0 lvm 

Desmond_Hume ★★★★★ ()
Ответ на: комментарий от Pravorskyi

Я с другого диска смотрю просто. Я сделал два основных раздела. Один из них - зашифрован. Его я поделил на 3 логических раздела, объединив их в LVM.

Desmond_Hume ★★★★★ ()
Последнее исправление: Desmond_Hume (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ни borg, ни restic не решат, глянул их возможности. Проблема изначально в том, что есть зашифрованный контейнер и его нужно сохранить, не сохраняя ту часть контейнера, которая пока не заполнена. А это, судя по всему, противоречит сути шифрования разделов. Так что, увы и ах, нужно выбирать что-то одно: удобство и относительную безопасность или неудобства, но надёжность и безопасность. Да уж, дилемма.

Desmond_Hume ★★★★★ ()
Последнее исправление: Desmond_Hume (всего исправлений: 1)
Ответ на: комментарий от Desmond_Hume

Проблема изначально в том, что есть зашифрованный контейнер

В файле, что ли? Потому что если нет, то тебе не нужно «сохранять» весь хренов том. Это крайне глупо.

anonymous ()
Ответ на: комментарий от Desmond_Hume

В этом вся и проблема.

Да, проблема в том, что ты выбрал хреновый способ бэкапа. Долго архивировать, долго восстанавливать, невозможно эффективно хранить множество версий, шанс сохранить в резервной копии какую-нибудь ошибку ФС и прочие способы пострадать от возгорания заднего прохода :)

anonymous ()

Всё просто. Создай зашифрованный раздел для бекапов, а сами бекапы делай на уровне файловой системы, для этого могу порекомендовать borgbackup https://borgbackup.readthedocs.io/en/stable/

Кстати, эта тулза позволяет делать почти то, что ты хочешь, т.е. бекапить только измененные части твоего зашифрованного образа.

anonymous ()
Ответ на: комментарий от anonymous

Нет, не совсем верно ты понял. У меня затея такая: мне нужна безопасность инфы на уровне «украли жёсткий диск». То, что бэкапы можно хранить в шифрованном хранилище - для меня не новость. Та же Clonzilla прекрасно делает шифрование бэкапов. Мне важно, чтобы источник был в шифрованном виде, чтобы даже его кража меня особо не волновала. Ну, украли ноут/комп, и фиг с ним, всё равно прочитать ничего не смогут ...

Desmond_Hume ★★★★★ ()
Ответ на: комментарий от Desmond_Hume

Делай тогда бэкапы LV.

/dev/mapper/MyNewLVMGroup-root
/dev/mapper/MyNewLVMGroup-home

Вот незашифрованные блочные устройства, на которых у тебя ФС с данными. Можешь прямо их бэкапить Clonezilla, указав эти устройства вместо /dev/sdbX.

Такой вариант подходит?

Pravorskyi ()
Ответ на: комментарий от Desmond_Hume

rsync-ом, конечно!

Я лично имею внешний жесткий, зашифрованный тем же луксом. Подключаешь диск, вводишь пароль, дальше

rsync -aiuvHAX --delete-after --dry-run /home/vasya/ /media/homebackup/vasya/

Смотришь глазками, не удаляет ли чего лишнего, потом --dry-run убираешь. Занимает 10 минут от силы

Размеры разделов совпадать не должны, лишь бы места для файлов хватало.

unanimous ★★★★★ ()
Последнее исправление: unanimous (всего исправлений: 1)

чтобы из 160 Гб, к примеру, записались в образ только реальные 15 Гб данных (остальные 145 Гб не заполнены).

По идее, можно включить allow-discards, тогда на месте пустого места будет незашифрованное пустое место. Если trim поддерживается.

TheAnonymous ★★★★★ ()
Ответ на: комментарий от anonymous

ЕМНИП, с файлами-образами так работает - он может быть на 100500 ГБ, но в действительности это будет sparse файл, а реальный объём du image.img - столько, сколько и занято на шифрованной ФС

TheAnonymous ★★★★★ ()