LUKS 암호화 장치를 백업하는 모범 사례

luks로 암호화 된 장치 (예 : 전체 암호화 된 USB 장치를 이미지 파일 로 백업) 를 백업하고 복원하는 가장 빠른 방법 은 무엇입니까?

USB 장치를 해독 / 액세스 할 수 있습니다 . 백업 이미지를 파일로 마운트하는 솔루션을 찾고 있습니다 (암호화). 가능할까요?

간단하고 바보처럼 유지하십시오.

cryptsetup당신의 질문이라면 이미지 파일을 처리하고 장치를 차단합니다. 따라서 dd이미지 를 만들면 (거대한 괴물이 될 것입니다) 작동합니다. 그렇지 않은 경우 루프 장치를 직접 만들 수 있습니다.

모범 사례 (백업을 암호화 된 상태로 유지하려는 경우)는 백업 디스크도 암호화 한 다음 두 컨테이너를 모두 열고 암호화되지 않은 파일 시스템과 마찬가지로 원하는 백업 솔루션을 실행하는 것입니다. 소스 디스크에서 데이터를 해독 한 다음 백업 디스크에 대해 다시 암호화하므로 가장 빠른 방법은 아닙니다. 반면에 증분 백업 솔루션을 허용하므로 여전히 평균 dd- 이미지 생성을 능가해야합니다.

을 고수하고 싶다면 LUKS 헤더와 오프셋을 고려하는 일종의 것 dd보다 더 빠른 것을 만드는 유일한 방법 이므로 실제로 파일 시스템에서 사용중인 암호화 된 데이터 만 저장합니다.ddpartimage

소스 디스크가 SSD이고 LUKS 내부에서 TRIM을 허용하고 SSD가 잘린 영역을 0으로 표시하는 경우이 동작을 무료로 사용할 수 있습니다 dd conv=sparse. 그래도 여전히 권장하지는 않습니다.

가장 간단한 방법은 백업 시스템을 암호화 시스템과 독립적으로 만드는 것입니다. 백업을 위해 암호화 된 볼륨을 작성하십시오. 원래 볼륨과 백업 볼륨을 모두 마운트하고 선호하는 파일 시스템 수준 백업 소프트웨어를 실행하십시오.

단순성 외에도이 방법의 장점은 백업 볼륨이 원본과 크기 및 내용이 같을 필요가 없다는 것입니다. 하위 디렉토리로 백업하거나 증분 백업 등을 수행 할 수 있습니다.

또한 약간의 보안 이점이 있습니다. 공격자가 백업을 가져 와서 비밀번호를 찾고 백업 볼륨이 암호화 된 볼륨의 직선 사본 인 경우 원래 볼륨을 다시 암호화해야합니다. 백업 볼륨이 독립적으로 암호화 된 경우 원래 볼륨의 비밀번호를 변경하기에 충분합니다.

제가 한

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>