wie kann ich ein backup einer komplett mit dm-crypt/luks (lvm2) verschlüsselten festplatte machen?
klappt das nur mit dd, oder gibt's evtl. noch andere programme, die mit der verschlüsselung klarkommen?
wie kann ich ein backup einer komplett mit dm-crypt/luks (lvm2) verschlüsselten festplatte machen?
klappt das nur mit dd, oder gibt's evtl. noch andere programme, die mit der verschlüsselung klarkommen?
Mir ist nur eine Vollsicherung (z.B. mit dd) bekannt, wenn es verschlüsselt bleibt während des Backups.
Du könntest allerdings zum Backup die Partition entschlüsseln und das Backup inkrementell auf eine verschlüsselte Partition legen.
Hm, ok. Hätte den Vorteil, daß das Backup weniger groß ist...
Je nachdem, was für Daten auf der Partition sind, könnte →Clonezilla das recht ordentlich komprimieren. In jedem Falle kann Clonezilla von dieser Partition komfortabel ein Image erstellen, das dürfte wesentlich fixer gehen als mit 'dd'.
Von einer verschlüssselten Partition ein unverschlüsseltes backup zu erstellen ist ja eine etwas widersinnige Herangehensweise.
Zitat von DrunkenFreak
So mache ich das jedenfalls.
Clonezilla dürfte theoretisch, wenn es keine Verschlüsselung kennt, keine Dateisystemformatierungen erkennen - ergo kann es auch nicht wissen, welcher Speicher frei ist und kann nix weglassen. Und komprimieren kann dd mit angehängtem gzip ja auch. Man kann natürlich vorher die Verschlüsselungspartition mit einer Datei nullen und hoffen, dass das auch bei Verschlüsselung viele gleiche Bytes gibt, die sich gut komprimieren lassen.
Ich würde einfach eine externe Festplatte verschlüsseln und dann unverschlüsselt mit rsync oder cp rübersichern. Nach Aushängen des verschlüsselten LVM-Containers gilt die Platte ja wieder als verschlüsselt geschützt. So dürfte das gemeint gewesen sein.
Bei dd beschleunigt ein bs=4k den Vorgang um etwa das Vierfache, bei mir.conv=noerror wäre noch ratsam, wenn man kein ddrescue aus dem Paket gddrescue verwendet.
Ups, stimmt ja, die verschlüsselte Partition stellt sich nicht als ext3 / ext4 / sonstwas dar, sondern als crypto_LUKS; damit kann Clonezilla nichts anfangen, also ist 'dd' wohl wirklich die einzige Möglichkeit, direkt zu backuppen.
My bad.
Ich mach viel mit Gedankenspielen, vieles probiere ich auch mal aus, aber nicht alles. apt-get kann ja auch simulieren, aber das ist ein anderes Thema.
Ich kann aus langjähriger Erfahrung sagen, dass Clonezilla auf dd als Fallback zurück greift allerdings kann es, je nach Einstellung die Daten ja noch mit bzip2 oder so komprimieren, was bei verschlüsselten Containern, die evtl. sogar mit Zufallsdaten initialisiert wurden, natürlich nicht immer besonders viel bewirkt.
Entschlüsselt sichern macht natürlich selten Sinn. Es macht dann Sinn, wenn man z.B. nur verschlüsselt, damit die Daten auf dem Notebook für Unbefugte nicht zugänglich sind, wenn man es verliert oder es gestohlen wird. In so einem Fall kann man natürlich die entschlüsselten Daten Platzsparend sichern und das Backup entsprechend wegsperren.
Weiterhin bietet sich die Möglichkeit die entschlüsselten Daten z.B. als tar-Archiv in einem verschlüsselten Container zu sammeln, so ergibt sich dann zumindest innerhalb des Containers auf dem Backup-Datenträger eine gewisse Platzersparnis, wodurch man mehr Backups unterbringen kann, als wenn man den gewöhnlichen Weg geht und einfach mit dd sichert. Allerdings ergeben sich dadurch zusätzliche Angriffsvektoren: Ein Angreifer hat jetzt weitere Anhaltspunkte und kann, bei entsprechend hoher Intelligenz, und Kenntnissen über die Art, wie Du Backups speicherst, einen schnelleren Weg konstruieren, Deine Verschlüsselung zu knacken, denn er hat quasi mehr Puzzlestücke, die eigentlich zu entschlüsselnden Daten und die Daten als Backup-Archiv ebenfalls verschlüsselt. Ich räume aber ein, dass ich evtl. unter den Paranoiden nicht gerade in der untersten Liga mitspiele und solche Mathegenies sind sehr selten ...
Wenn jemand wirklich an deine Daten ran will .. wird er wahrscheinlich eher zu Methoden der "Rubberhose Kryptographie" greifen... es gibt nämlich deutlich mehr "Brutalos" als Mathegenies.. und schneller ist es allemal ;-)
Daher halte ich die Methode die Daten auf einer anderen verschlüsselten Partition "ganz normal" zu sichern für einen vernünftigen Kompromiss zwischen Sicherheit und Speicherplatz.
Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
"Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)
Richtig, auch Clonezilla kann 'dd', was allerdings nicht nur den Nachteil hat, dass das Image wesentlich mehr Platz einnimmt, sondern auch noch im Vergleich zu Partimage / Partclone (die anderen backends für ext-Dateisysteme von Clonezilla) sehr langsam ist. Wenn man das regelmäßig machen will, kann das schon etwas nerven.
Ggf. halte ich die von Newbie314 dargestellte Herangehensweise auch für die beste.
.. die hat Dodobo vorgeschlagen ;-)
Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
"Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)
Credits also to Dodobo.reloaded.
Und vor mir DrungenFreak und IOtz, aber es hat nur niemand verstanden oder hatte sich überschnitten.Credits also to Dodobo.reloaded.
Wenn man bei Clonezilla eine dd-Option mitgeben kann, versucht es mit bs=4k, das ist sehr schnell. Man kann ja auf seinem System selbst testen, was am schnellsten ist. Diese GUIs braucht doch kein Techi für dd, da ist dd schon selbst sehr einfach oder wo seht ihr da das Problem? Gewohnheit?
Gegen Prügelknaben hilft eventuell Pfefferspray und eine zweiter, versteckter verschlüsselter Container, wie ihn etwa Truecrypt anbietet. Sicherlich ist für Paranoide auch noch ein dritter verschlüsselter Container drin, falls ein Prügelknabe lacht und sagt: "Haha, verar**h mich nicht: Mach mir nun den versteckten Container auf!".
Wenn ihr mich mal hauen wollt: Ich sag euch nicht, wieviele versteckte verschlüsselte Container oder steganographierte Bilder usw. ich einsetze.
Das ist eigentlich auch kein Kompromiss, sondern die sicherste und platzsparendste Lösung zugleich (i.V.m. z.B. rsync und diff./ inkr. Backups per z.B. Hardlinks in rsync oder auch gleich rsnapshot).Daher halte ich die Methode die Daten auf einer anderen verschlüsselten Partition "ganz normal" zu sichern für einen vernünftigen Kompromiss zwischen Sicherheit und Speicherplatz.
Naja, eine GUI im eigentlichen Sinne hat Clonezilla ja nicht, sondern mit ncurses eine sogenannte TUI (Text User Interface) - wie auch immer, Clonezilla ist ein live-System, und ein solches sollte man beim Klonen von Partitionen eh nutzen (zumindest die /-Partition lässt sich ja nicht im laufenden Betrieb aushängen), insofern liegt Clonezilla als spezialisierte Distribution da schon nahe.
Geändert von gropiuskalle (18.01.11 um 20:14 Uhr)
Berechtigungen
Zitieren
Lesezeichen