Hallo,

Ich habe mein System verschlüsselt und würde gerne regelmäßig komplette backups mit dd machen. Ich habe es im Moment so eingerichtet, dass eine primäre Partition der Festplatte verschlüsselt ist, darauf liegen dann verschiedene logical volumes. Da also die Partition selbst kein filesystem enthält, wäre es sinnvoller, von den logical volumes backups zu machen. Dazu muss aber die Partition entschlüsselt sein. Da solche backups eine Weile brauchen, wäre es aber reichlich sinnlos, seine Platte zu verschlüsseln, dann aber mehrere Stunden unbeaufsichtigt und entschlüsselt rumliegen zu lassen. Daher suche ich hier nach einer geeigneten Methode.
Ich dachte bisher an Live-CD + Desktop-Sperre (etwa mithilfe von xscreensaver). Das setzt voraus, dass auch vernünftige Passwörter gesetzt sind. Wäre sowas sinnvoll, oder gibt es irgendwelche Tricks, die Desktop-Sperre zu umgehen, d.h. im schlimmsten Fall die Konsole mit eingeloggtem root-account zu erreichen? Gibt es bessere/einfachere Methoden?
Welche Live-CDs eignen sich dafür? Man müsste dann in der Lage sein, das OS darauf vollständig zu installieren, also solche hybrid-isos die gleichzeitig für die gewöhnliche Installation verwendet werden reichen nicht aus.

Danke im Voraus.

salü

weiss nicht recht ob du sowas suchst, aber ich mach meine Backups so:

Ubuntu Live booten und dann:
sudo dd if=/dev/sda3 | gzip --fast >/media/sdb1/sda_backup.gz

Restore:
gunzip -c /media/sdb1/sda_backup.gz | sudo dd of=/dev/sda3



ich verwende das allerdings auf einem unverschlüsselten system. das ganze müsste doch aber auch sonst gehen, also ohne vorheriges entschlüsseln?

das ganze müsste doch aber auch sonst gehen, also ohne vorheriges entschlüsseln?

Nein, das Problem bei mir ist, dass ich ohne Entschlüsselung nur zwei Partitionen vorliegen habe, /dev/sda1 und /dev/sda2. sda1 enthält /boot unverschlüsselt, das wäre kein Problem. sda2 ist aber komplett verschlüsselt und enthält kein filesystem. Darauf liegen dann, nach entschlüsseln, mehrere logical volumes, also /swap /root /home. Ich kann natürlich ohne Entschlüsseln ein Backup von /dev/sda2 anfertigen, aber das würde dann alle drei Partitionen enthalten und ließe sich nicht direkt mounten (ich wüsste jedenfalls nicht, wie). Wenn ich also irgendein Textdokument brauche, das auf /home liegt, ist es ein Riesenaufwand das wiederzukriegen. Wenn ich aber ein backup vonn zB /home nach Entschlüsseln mache, dann könnte ich das direkt mounten.

Ich würde Dir empfehlen, eine eigene LiveCD oder einen USB-Stick zu bauen, bei dem es nach dem Boot nur die Möglichkeit gibt besagtes Backup zu machen und dazu evtl. Passwörter einzugeben oder auszuschalten. Das Ziel für das Backup kann man aus einer Liste auswählen, man kann sich nicht anmelden, auch nicht als root, und die Backup-Anwendung bzw. das Menü startet immer neu, wenn es gekillt wird. Jobcontrol (Strg+Z) darf natürlich auch nicht gehen. damit sollte es dann gehen.

Ich würde Dir empfehlen, eine eigene LiveCD oder einen USB-Stick zu bauen, bei dem es nach dem Boot nur die Möglichkeit gibt besagtes Backup zu machen

Meinst du, das Ganze von der Pike auf zu entwickeln, so wie LFS?
Ich dachte eigentlich, da gäbe es eine einfachere Möglichkeit mit vorhandenen Live-CDs. Es soll ja nur verhindert werden, dass man während des Backups einfach die Konsole nutzen kann und lesenden Zugriff auf alle entschlüsselten Daten hat.

Meinst du, das Ganze von der Pike auf zu entwickeln, so wie LFS?
Ich dachte eigentlich, da gäbe es eine einfachere Möglichkeit mit vorhandenen Live-CDs. Es soll ja nur verhindert werden, dass man während des Backups einfach die Konsole nutzen kann und lesenden Zugriff auf alle entschlüsselten Daten hat.

Ich glaub, da dachte er eher an ein Remastern von Knoppix, DSL oder sonst ner Live-CD.
Die sind schon drauf ausgelegt, als Live zu laufen und Du musst nicht komplett bei 0 anfangen. ;)

Sooo arg kompliziet ists aber auch nicht, wenn Du die komplette Partition (verschlüsselt wie sie ist) sicherst.
Mit cryptsetup (ich unterstelle mal LUKS) das Image entschlüsseln (es ist unerheblich, ob cryptsetup mit einem Device-Node oder einem Image-File arbeitet)
Anschließend die LVM-Geschichte durch gehen, sofern die nicht automatisch erkannt werden.
Und dann eben z.B. die /home beliebig mounten.
Ein gezipptes Image müsstest eben ensprechend vorher noch entzippen...


Edit:
Ich würd das Konzept vielleicht eh nochmal überdenken.
Vielleicht eher ein LVM auf der Partition (oder eben über mehrere) erstellen, und die Volumes dann verschlüsseln ist vielleicht sinnvoller zu sichern. ;)
Generell würd ich kein Backup von den Entschlüsselten Daten machen.
Wenn ein entschlüsseltes Backup existiert, bringt die ganze Verschlüsselung der zu sichernden Daten ja nix mehr. ;)

Ich würd das Konzept vielleicht eh nochmal überdenken.
Vielleicht eher ein LVM auf der Partition (oder eben über mehrere) erstellen, und die Volumes dann verschlüsseln ist vielleicht sinnvoller zu sichern. ;)
Generell würd ich kein Backup von den Entschlüsselten Daten machen.
Wenn ein entschlüsseltes Backup existiert, bringt die ganze Verschlüsselung der zu sichernden Daten ja nix mehr. ;)

Da ist ja das ganze System enthalten, also swap, / und /home. Wenn ich die alle einzeln verschlüssel, dann kann ich ja beim starten nicht mehr alles durch ein Passwort entschlüsseln (wüsste jedenfalls nicht wie). Außerdem ist es kein Problem, die Daten unverschlüsselt zu übertragen, wenn der Zieldatenträger wieder verschlüsselt ist.

Naja, ich guck' mir mal die bekannten Live-CDs an und sehe, was man damit so anstellen kann.

Also bei einem Stick kann man mit einer Minimal-Installation irgendeiner Distro gut anfangen (dann auf Syslinux/Extlinux umstellen) und bei einer CD würde ich versuchen Clonezilla irgendwie zu vergewaltigen, damit man keine Shell mehr bekommt. Clonezilla verwendet schon Mechanismen, die eine Anpassung leicht ermöglichen. (Irgendwelche verkrüppelten DRBL-Teile.)

Wenn man alles von Grund auf selbst macht, also wie bei LFS der Gentoo, dann kann man evtl. auch gleich monolithisch vorgehen und dann geht vieles einfacher auf Kosten der Flexibilität. So kann man z.B. alle nötigen Module gleich fest in den Kernel tun, ggf. mit geeigneten Voreinstellungen für Parameter und dann kann man auf eine initrd gleich verzichten. Man kann auch auf unnötige Sachen, z.B. Netzwerk, Sound, Grafik, usw. gleich verzichten und spart dadurch Platz, verkürzt die Hochfahr-Zeit, erhöht die Sicherheit durch Reduktion der Angriffspunkte, und reduziert den Pflegeaufwand.