eCryptfs的备份策略

Modified on: Fri, 29 Jun 2018 01:28:30 +0800

我们有一个小型网络,中间有一个Ubuntu服务器,周围有Ubuntu笔记本。这些笔记本都使用eCryptfs来加密用户的整个主目录。通常,每个笔记本有两个或更多用户。备份过程保留在网络内部,因此我们可以将未加密的文件传输到服务器。我们想要使用基于rsync的解决方案,但也适合其他人。

我们在尝试备份笔记本电脑的主目录时遇到了困难,这给我们带来了很大的麻烦。归结为:

  1. 如果用户A已登录,则主目录将被解密,并且/home/.ecryptfs/A中的加密文件将被锁定以防止从其他进程读取(这是一个很好的的东西)

  2. 如果用户B未 登录,则其主目录不会被解密,/home/.ecryptfs/B中只有加密文件。

  3. 我们需要有一个可以运行的备份脚本,当用户A登录时(因为她在我们的情况下手动启动),用户B可能会或可能不会登录(通常不会)。 / p>

  4. 醇>

    现在问题是:我们应该备份什么?如果我们去加密数据,则无法备份用户A的内容。另一方面,解密数据意味着用户B 也必须登录。当涉及到恢复某些东西时,混合两者会带来愉快的时间。

    我们错过了这个问题是否有其他解决办法?

作者:Boldewyn

最佳答案

您确定/home/.ecryptfs/A已被锁定以供阅读吗?我使用ecryptfs,当我登录时,可以浏览和读取/home/.ecryptfs/myusername/.Private中的文件。我只是尝试进入该目录(和子目录)并打开文件(使用vim -b),我可以很好地阅读它们。我当然希望他们被锁定写作,但我不明白为什么他们会被锁定阅读。您使用的操作系统版本是什么? (我在Ubuntu Lucid 10.04上)。也许会问一个关于你得到的错误的单独问题,因为可能还有别的东西导致了这个问题。

直接回答您的问题 - 备份/home/.ecryptfs/的内容。这将为所有用户备份(加密副本)所有文件。

此外,如果需要,您应该能够解密文件。因此,您应该将未打包的密码存储在安全的地方,以防用户忘记密码,离开...要获取它,让用户运行

ecryptfs-unwrap-passphrase

登录时

,并将结果存储在某处。它足够小,您可以将其写下来( double 三重检查它)并将其存储在保险箱中,或者让两个人保留其中的一半或一些,具体取决于您需要多少安全性。 / p>

否则你需要/home/.ecryptfs/*/.ecryptfs/wrapped-passphrase和用户密码。

您还应注意,同步加密数据时,rsync无法加快文件传输速度。未加密文件中的任何更改都将完全更改加密文件。压缩不会真正适用于加密数据。对于您的情况,这不应该是一个大问题,其中同步是通过LAN进行的,但对于阅读此问题的其他人来说可能很重要。虽然rsync仍然可以检查加密文件是否未更改,因此它不必重新传输未更改的文件。

此问题的读者可能也对支持指南感兴趣由ecryptfs的维护者


相关问答

添加新评论