Re: rsync záloha a šifrování

Petr Baláš petr na balas.cz
Středa Duben 11 09:11:09 CEST 2012


2012/4/10 Slávek Banko <slavek.banko na axis.cz>:
> On Tuesday 10 of April 2012 21:30:25 Petr Baláš wrote:
>> 2012/4/10 Michal Škrha <michal na skrha.cz>:
>> > Petr Baláš  wrote / napísal(a):
>> >> Zdravím
>> >>
>> >> Potřebuji zálohovat na náš zálohovací server umístěný v sousední
>> >> firmě. Pro zálohování
>> >> využívám dirvish (ale ono je totéž aplikovatelné na jakýkoliv
>> >> zálohovací program postavený
>> >> na rsyncem). A protože je sousední firma sice spřátelená ale stále ne
>> >> zcela důvěryhodná
>> >> měly by zálohy být šifrované. Ideální stav by byl, pokud by rsync
>> >> server na PC ve firmě
>> >> uměl nabízet data už zašifrovaná. Bohužel to neumí :-(. Našel jsem tyto
>> >> řešení:
>> >>
>> >> rsyncrypto - chce dělat kopii všech dat což je neprůchozí,
>> >> problematická bezpečnost
>> >>
>> >> encfs --reverse - přes fuse nabídne zašifrovanou kopii dat což je
>> >> skoro přesně to, co chci.
>> >> Jen bohužel zašifruje i jména souborů (což je dobře) včetně jejich
>> >> přípon (a to je problém
>> >> protože nechci zálohovat různé AVI, MPG a podobné soubory a už pak
>> >> není jak odfiltrovat)
>> >>
>> >> nějaké nápady co ještě zkusit?
>> >
>> > Zdravim,
>> >
>> > stojim pred podobnou vyzvou. Zatim si hraju s resenim, kdy vzdaleny
>> > stroj nabizi NFS share, ten pripojim na lokalnim (bezpecnem) serveru.
>> > Nad timto NFS udelam image, nad kterym vytvorim sifrovany FS a na nej
>> > pak zalohuju oblibenym postupem.
>> >
>> > Chapu, ze to zni divne, mozno az silene, ale prijde mi to bezpecne.
>> >
>> > --
>> > Michal Skrha
>> > jabber: misko na sobotiste.info
>> > e-mail: michal na skrha.sk / misko na sobotiste.info / mskrha na gmail.com
>> > Prosim neposielajte mi prilohy vo formatoch .doc, .xls alebo .ppt
>> > Precitajte si http://www.gnu.org/philosophy/no-word-attachments.cs.html
>>
>> Zajímavá myšlenka, to mě nenapadlo. Sice bych asi nepoužil export
>> image pomocí NFS ale raději nad iSCSI ale nad tímto se zkusím zamyslet.
>> Dost věcí by se tím zjednodušilo.
>> Na druhou stranu - zase musím pevně určit velikost, na to serveru jsou
>> i jiné zálohy (šifrované dumpy databáze).
>
> Při použití encfs by nebylo třeba po připojené vzdáleného souborového systému
> řešit nad ním image pro šifrovaný souborový systém - stačilo by po připojení
> přes to ještě nahodit encfs.
>
> Nicméně v obou případech byste tím přišel o client/server komunikaci rsyncu,
> což může být nepříjemné (předpokládám, že nyní používáte rsync server). Ale
> při požadavku na filtrování podle čitelných jmen mně stejně jiná možnost
> nenapadá...
>
> Leda snad: Před zálohováním připravit dočasnou složku, do které naskládat
> hardlinky souborů k zálohování pročištěné o nechtěné soubory (nebo použít
> snapshot a odstranit z něj nechtěné soubory?). A pak encfs s --reverse použít
> na takto připravenou složku.
>
> Slávek

Požadavek na profiltrování souborů není úplně nezbytně nutný. Ty data kde
má smysl to filtrovat se přenášejí nejprve z notebooků na Win server a teprve
na něm běží rsync server. Při nasazení encfs to stejně ještě musím
protáhnout skrz pomocný linux servřík takže to odfiltruji tady.

Ale je pravda že když si začnu počítat objemy dat děleno propustností sítě
tak zjišťuji, že vlastně všechno chci tahat skrz rsync protokol :-)

-- 
Petr Baláš - petr at balas dot cz


Další informace o konferenci Linux