LINUX.ORG.RU

Безопасно зеркалировать данные NAS в шифрованном виде.

 , ,


0

2

Привет, ЛОР. Достаточно долго у меня существует следующая конфигурация: Все данные (~2 TB) лежат на одном NAS, раз в неделю они бэкапятся на внешний HDD (все диски Enterprise уровня, не черепичные, так что тут все ок), а все клиенты получают к ним доступ по nfs/smb.

И все прекрасно, за исключением того, что нет offsite бэкапа с т.з. географического расположения.

Есть идея взять облако и зеркалировать туда, но переход на NAS и локальное хранение были в первую очередь обусловлены приватностью и безопасностью, поскольку среди этих данных есть критически важные (базы с паролями, исходники, и т.д.).

Собственно, вопрос: Какие есть самые адекватные и надежные способы безопасно хранить снимки диска в шифрованном виде в облаке?

★★★★

Бэкапы надо шифровать открытым ключом. Закрытый ключ держать в условном сейфе. Если тебе просто надо зашифровать файлы, рекомендую утилиту age, простая и надёжная.

vbr ★★★★★
()
Последнее исправление: vbr (всего исправлений: 1)
Ответ на: комментарий от NyXzOr

Смысл в том, что с restic может получиться меньше файлов. Но если бэкапить всякие жирные файлы больше стандартного для restic pack size (16 Мб, но максимум 128 Мб), то файлов может стать и больше, чем в исходном виде. Так что уверенно советующим restic стоит быть осторожнее с такой рекомендацией.

anonymous
()
Ответ на: комментарий от anonymous

Во-первых, это всего лишь соглашение, и самое страшное, что тебе грозит за нарушение — удаление данных. Во-вторых, можешь показать действующий пример такого ToS? Яндекс несколько лет назад пытался запретить зашифрованные архивы, но это продержалось недолго.

anonymous
()
Ответ на: комментарий от anonymous

Яндекс несколько лет назад пытался запретить зашифрованные архивы, но это продержалось недолго.

Да, они довольно быстро получили ключи, так что можете складывать «шифрованные» архивы дальше :)

Puper
()
Ответ на: комментарий от anonymous

А ты очередной неофит, прочитавший, что асимметричные алгоритмы надо использовать для шифрования небольших объёмов данных и теперь бегающий с этим знанием наперевес, утирая нос старым дядькам, которые про такое чудо, конечно же, не слыхали.

vbr ★★★★★
()
Ответ на: комментарий от Puper

Насколько мне известно разработка непробекдореного шифрования в РФ запрещена.

А использовать готовое, стандартное, пробекдоренное шифрования не запрещено. Или дума нас удивила? Шифрование в цифровую эпоху - одно из основных и очень важных прав человека! Если какой-то закон РФ его нарушает дайте ссылку!!!

По теме rsync-нуть весе шифрованное блочное устройство в другой филиал/офис своейже фирмы.

anonymous
()
Ответ на: комментарий от anonymous

Ок. Поведай каким алгоритмом и открытым ключом зашифровать файл размером 12Gb? Неужели RSA?

AES со случайным ключом. а этот ключ можно уже правильно западить и зашифровать RSA. но, конечно, лучше, RSA в 2025 году уже не использовать, а использовать ECIES.

anonymous
()

Есть идея взять облако и зеркалировать туда, но переход на NAS и локальное хранение были в первую очередь обусловлены приватностью и безопасностью, поскольку среди этих данных есть критически важные (базы с паролями, исходники, и т.д.).

Если рассматривать не только облако, но и аренду сервера, то, имхо, есть несколько вариантов, для разных стадий паранойи:

  1. Отсутствие паранойи. Вариант для нормальных людей. Вы доверяете любому хостеру/облаку и просто синхронизируете содержимое локальной и удалённой файловых систем.
  2. Начальная стадия паранойи. Вы подозреваете, что среди облаков/хостеров есть те, кому доверять нельзя, и тщательно выбираете того, кому доверите копию локальных данных.
  3. Обострение паранойи. Вы вспоминаете, что даже у тщательно выбранного хостера, могут случаться косяки: например в используемом дата-центре может не соблюдаться протокол утилизации HDD, при котором отработавшие свой срок накопители должны быть физически уничтожены, не покидая помещение дата-центра. Вы шифруете накопитель арендованного сервера, а пароль для расшифровки вводите исключительно при подключении по ssh.
  4. Острая стадия. Вы считаете, что любой хостер априори злонамерен, и добывает ключи из оперативной памяти виртуальных серверов всех своих клиентов, вооружившись дизассемблером и дебагером. Вы делаете в облаке/на сервере бекапы исключительно шифрованных контейнеров целиком. Это могут быть как шифрованные архивы, так и снимки зашифрованных накопителей. Шифрование и расшифровывание данных всегда осуществляется только на локальной системе, и никогда на удалённой.
  5. Терминальная стадия. Вы вспоминаете, что хостер/облако знают Ваш реальный ip и могут вычислить Вас по данным платежей, а для дешифрования Вашего зашифрованного архива, могут использовать терморектальный криптоанализ. Вы отказываетесь от хостингов/облаков не принимающих крипту, и организуете для оплаты и доступа к удалённой системе раздельные Whonix-туннели, построенные на базе реальных, а не виртуальных машин.
  6. Мания преследования / распад личности. Вы твёрдо убеждены в том, что лучший способ не выдать секрет - это не знать его. Потому Вы перезаписываете с помощью shred все накопители на сервере, сжигаете локальные накопители термитным зарядом, запираете и блокируете изнутри сейфовую дверь своего бункера в горах, уничтожив едиственный ключ тем же термитом, после чего производите аутодекортикацию головного мозга, для исключения вероятности восстановления секретных данных.
QsUPt7S ★★★
()
Ответ на: комментарий от anonymous

Насколько мне известно разработка непробекдореного шифрования в РФ запрещена.

нет, конечно. разрабатывай, сколько влезет.

Русский талмуд надо хоть чуточку знать, чтобы не грешить против святой руси!

Поиск альтернативных талмуду мнений – штраф ~ 50€ А вот и штрафы за поиск информации и за рекламу VPN подоспели

Просвещение русских как получить доступ к альтернативным талмуду мнениям – штраф ~ 500€ А вот и штрафы за поиск информации и за рекламу VPN подоспели

За разработку своего шифрования или своей безопасной ОС – 5 лет тюрьмы: Что должен знать специалист ИБ на старте (комментарий)

anonymous
()

Я для бэкапа использую borg с шифрованием. Для домашнего применения показал себя неплохо (восстанавливать всё из бэкапа не приходилось, но отдельные файлы доставал). Шифрование и дедупликация из коробки.

Chiffchaff
()
Ответ на: удаленный комментарий

всё равно коап вертел на х%ю, вместе со всей святой русью. Продолжу гнить в гейропе

А я думал в гейропах одни толерасты в отношении других религий. Святая русь будет страной со самым святым населением в мире. Только представь себе святость нам ниспосланного талмуда:

  • Грех все ваши гей парады.
  • Грех безопасное шифрование разрабатывать и операционные системы.
  • Грех просвещать русских как получить доступ к информации.
  • Грех даже пытался искать информацию!

А ты такой святой талмуд и с таким святым народом, да на х%ю вертел? Вижу вас там в гейропах толерастности совсем не научили. Смотрите вы там, а то святой руси придется и гейропу откалибрировать.

anonymous
()
Ответ на: комментарий от anonymous

А я думал в гейропах одни толерасты в отношении других религий.

а я ещё недостаточно интегрировался, но я буду толерантно вертеть, не сомневайся.

но ближе к теме, по-моему, со времён https://eprint.iacr.org/2015/812.pdf никаких новостей не было, кроме невнятного блеяния «всё не так однозначно».

бэкапить насы можно любой бэкапилкой с шифрованием, тыщи их. Вот прям Bacula, например: https://www.bacula.org/11.0.x-manuals/en/main/Data_Encryption.html - старый конь лучше борозду не испортит, чем новых двух. :) AES-CBC - странноватый выбор в 2025, ну да пох, если автор всё равно не знает, что творит.

anonymous
()
Ответ на: комментарий от anonymous

а я ещё недостаточно интегрировался, но я буду толерантно вертеть, не сомневайся.

Уже интересовались, потыкали аккуратно палочкой, издалека принюхались – оно.

Так что интересоваться надо очень издалека, чтобы в оно случаем не наступить, чтоб потом от тебя не воняло этой толерастной верой.

https://eprint.iacr.org/2015/812.pdf … «всё не так однозначно».

Скопипасти если что по теме интересное.

anonymous
()