rsync záloha a šifrování

Slávek Banko slavek.banko na axis.cz
Úterý Duben 10 21:48:29 CEST 2012 

On Tuesday 10 of April 2012 21:30:25 Petr Baláš wrote:
> 2012/4/10 Michal Škrha <michal na skrha.cz>:
> > Petr Baláš  wrote / napísal(a):
> >> Zdravím
> >>
> >> Potřebuji zálohovat na náš zálohovací server umístěný v sousední
> >> firmě. Pro zálohování
> >> využívám dirvish (ale ono je totéž aplikovatelné na jakýkoliv
> >> zálohovací program postavený
> >> na rsyncem). A protože je sousední firma sice spřátelená ale stále ne
> >> zcela důvěryhodná
> >> měly by zálohy být šifrované. Ideální stav by byl, pokud by rsync
> >> server na PC ve firmě
> >> uměl nabízet data už zašifrovaná. Bohužel to neumí :-(. Našel jsem tyto
> >> řešení:
> >>
> >> rsyncrypto - chce dělat kopii všech dat což je neprůchozí,
> >> problematická bezpečnost
> >>
> >> encfs --reverse - přes fuse nabídne zašifrovanou kopii dat což je
> >> skoro přesně to, co chci.
> >> Jen bohužel zašifruje i jména souborů (což je dobře) včetně jejich
> >> přípon (a to je problém
> >> protože nechci zálohovat různé AVI, MPG a podobné soubory a už pak
> >> není jak odfiltrovat)
> >>
> >> nějaké nápady co ještě zkusit?
> >
> > Zdravim,
> >
> > stojim pred podobnou vyzvou. Zatim si hraju s resenim, kdy vzdaleny
> > stroj nabizi NFS share, ten pripojim na lokalnim (bezpecnem) serveru.
> > Nad timto NFS udelam image, nad kterym vytvorim sifrovany FS a na nej
> > pak zalohuju oblibenym postupem.
> >
> > Chapu, ze to zni divne, mozno az silene, ale prijde mi to bezpecne.
> >
> > --
> > Michal Skrha
> > jabber: misko na sobotiste.info
> > e-mail: michal na skrha.sk / misko na sobotiste.info / mskrha na gmail.com
> > Prosim neposielajte mi prilohy vo formatoch .doc, .xls alebo .ppt
> > Precitajte si http://www.gnu.org/philosophy/no-word-attachments.cs.html
>
> Zajímavá myšlenka, to mě nenapadlo. Sice bych asi nepoužil export
> image pomocí NFS ale raději nad iSCSI ale nad tímto se zkusím zamyslet.
> Dost věcí by se tím zjednodušilo.
> Na druhou stranu - zase musím pevně určit velikost, na to serveru jsou
> i jiné zálohy (šifrované dumpy databáze).

Při použití encfs by nebylo třeba po připojené vzdáleného souborového systému 
řešit nad ním image pro šifrovaný souborový systém - stačilo by po připojení 
přes to ještě nahodit encfs.

Nicméně v obou případech byste tím přišel o client/server komunikaci rsyncu, 
což může být nepříjemné (předpokládám, že nyní používáte rsync server). Ale 
při požadavku na filtrování podle čitelných jmen mně stejně jiná možnost 
nenapadá...

Leda snad: Před zálohováním připravit dočasnou složku, do které naskládat 
hardlinky souborů k zálohování pročištěné o nechtěné soubory (nebo použít 
snapshot a odstranit z něj nechtěné soubory?). A pak encfs s --reverse použít 
na takto připravenou složku.

Slávek
--

Další informace o konferenci Linux