LinuxおよびFreeBSDの暗号化されたバックアップは両方で読み取り可能

私はLinuxとFreeBSDのコンピュータを使用していますが、どちらも暗号化されています（それぞれLUKSとgeli）。暗号化され、両方から読み取り可能なバックアップを作成する方法を知りたいです（そのため、一方のコンピューターに障害が発生した場合、もう一方のコンピューターを使用してデータをすばやく回復できます）。

残念ながら、ボットLUKSとgeliは、それぞれ他のシステムに移植されたことがない、それぞれのシステムのカーネルモジュールのようです。BSD / Linux互換ファイルシステムのいくつかの脅威から判断すると、暗号化されていないバックアップを作成して両方から読み取り可能にするのは難しいようです（ext2は、これを可能にするファイルシステムの唯一のオプションです）。

したがって、私の考えは、LinuxのKVMで仮想FreeBSDをセットアップして、geliで暗号化された外部ディスクを読み書きし、LinuxのLUKS暗号化ファイルシステム内の暗号化されていない仮想ext2ボリュームにデータを転送できるようにすることでした（そしてその他の方法）。周り）。しかし、これはひどく複雑に見え、実際にそれを行う正しい方法のようには感じられません。

より良い/簡単/より好ましい方法はありますか？または、上記で説明した方法が現在可能な最良のオプションですか？

ありがとう。この件についてのご意見をお待ちしております。

いくつかの仮定を確立しましょう。それらが正しくない場合はコメントしてください。

1. 異なるオペレーティングシステム、および場合によっては異なるプラットフォームでマシンを実行します。
2. 2台のマシン、およびLinuxとFreeBSDの場合について説明します
3. あなたのマシンは暗号化されたファイルシステムを使用しています
4. データのバックアップを作成し、それらのバックアップも暗号化したい
5. アーカイブに貢献している任意のプラットフォームから、暗号化されたバックアップのデータにアクセスできるようにしたい

（暗号化の形式を区別するために追加されたコメント）

残りのマシンから他のシステムデータにアクセスできるようにしたいとおっしゃっています。1つの方法は、暗号化されていないバックアップをローカルマシンの暗号化されたファイルシステムに保存することです。もう1つは、暗号化されていないファイルシステムにローカルマシンの暗号化されたバックアップを保存することです。暗号化されたファイルシステムではなく、暗号化されたバックアップを保存することをお勧めします。

ただし、さておき、暗号化されたバックアップには常に懸念があります。-キーには本当に注意する必要があります。

私の提案：使用

• ブラックアップ、または
• 二枚舌

両方のマシンがアクセスできる1つまたは複数のコンテナーへのバックアップを作成します。

すべてをLAN内に保持するには、次の方法があります。

1. 暗号化されたバックアップ「パッケージ」を保存するために、両方のホストに「バックアップ」ファイルシステムを作成します。そこに保存されているバックアップ「パッケージ」（分割では「チャンク」と呼ばれます）が暗号化されるため、暗号化されたファイルシステムである必要はありません。
2. これらのファイルシステムを、NFSなどでエクスポートし、他のホストにそれぞれマウントします。
3. バックアップを作成するときは、それらをローカルファイルシステムにダンプし、他のホストのNFSマウントディレクトリにミラーリングします。これには、バックアップファイルのインスタンスが2つあるというすばらしい副作用があります。

これで、サーバーに次のファイルシステムが作成されます。

Linuxマシンのtuxで：

/dev/foo            /           # encrypted filesystem
/dev/bar            /tuxdump    # unencrypted filesystem, local backup
beastie:/daemondump /daemondump # NFS backup destination

beastieでは、FreeBSDマシン：

/dev/flurb          /           # encrypted filesystem
/dev/baz            /daemondump # unencrypted filesystem, local backup
tux:/tuxdump        /tuxdump    # NFS backup destination

バックアップする必要のあるデータの量に応じて、クラウドプロバイダーが行うオフサイトコンテナーについて考えることもできます。私は現在、古いものをGlacierに古くするようにS3コンテナーを構成することに取り組んでいます。

重複 -このタスクに最適なツールで、暗号化にGPGを使用します。私はしばらくそれを使っています、そして私は本当にお勧めします。

別の方法として、次のことを試すことができます。

• obnam-新しいプロジェクトですが、いくつかの優れた機能があります（ssh / scpを使用する場合は少し遅くなります）
• げっぷ -パスワードによる暗号化

TrueCryptはLinuxとFreeBSDの両方で動作するはずです。私は定期的にTrueCryptをWindowsでのみ使用しており、自分でFreeBSD Truecryptを試したことはありません。YMMV。

あなたrsyncは他のマシンのハードドライブ上の通常を使用してマシンのファイルをバックアップすることができます。とにかくローカル暗号化を使用しているので、ローカルシステム暗号化で暗号化されており、送信はTLSによって保護されています。更新は高速で、実証済みの暗号化およびバックアップメカニズムを使用します。

信頼できないシステムでファイルをバックアップする必要があるだけなら、プレーンなGPGがうまく機能しました。私はいくつかの暗号化とFTP転送をpythonで自動化しました。