LUKS暗号化デバイスをバックアップするためのベストプラクティス

luks暗号化デバイス（画像ファイルへの完全暗号化usb デバイスなど）をバックアップおよび復元する最速の方法は何ですか。

USBデバイスは復号化/アクセスできます。バックアップイメージをファイル（暗号化済み）としてマウントするソリューションを探しています。可能ですか？

バカにしてください

cryptsetupそれがあなたの質問であれば、ブロックファイルと同様に画像ファイルを処理します。したがって、dd画像を作成すると（非常に大きなものになります）、動作します。そうでない場合は、ループデバイスを自分で作成できます。

ベストプラクティス（バックアップを暗号化したままにする場合）は、バックアップディスクも暗号化してから、両方のコンテナを開き、暗号化されていないファイルシステムの場合と同様に任意のバックアップソリューションを実行します。ソースディスクからデータを復号化し、バックアップディスク用に再暗号化するため、最速の方法ではありません。一方、増分バックアップソリューションを使用できるため、平均してdd-image-creationを上回るはずです。

あなたがに固執したい場合はdd、より速くよりも何かを作るための唯一の方法は、ddでしょうpartimage、それが唯一のファイルシステムで使用されて実際に暗号化されたデータを格納しますので、LUKSヘッダを取り、アカウントへのオフセットの種類の。

ソースディスクがSSDであり、LUKS内でTRIMを許可し、SSDがトリミングされた領域をゼロとして表示する場合、でこの動作を無料で取得できますdd conv=sparse。それでも、私がお勧めするものではありません。

最も簡単な方法は、バックアップシステムを暗号化システムから独立させることです。バックアップ用の暗号化されたボリュームを作成します。元のボリュームとバックアップボリュームの両方をマウントし、お気に入りのファイルシステムレベルのバックアップソフトウェアを実行します。

シンプルさの他に、この方法の利点は、バックアップボリュームのサイズとコンテンツが元のボリュームと同じである必要がないことです。サブディレクトリにバックアップしたり、増分バックアップを作成したりできます。

また、非常にわずかなセキュリティ上の利点もあります。攻撃者がバックアップを取得してパスワードを見つけ、バックアップボリュームが暗号化されたボリュームのコピーである場合、元のボリュームを再暗号化する必要があります。バックアップボリュームが独立して暗号化されている場合、元のボリュームのパスワードを変更するだけで十分です。

私がしたこと

cryptsetup luksOpen <device> <name>
fsarchiver -c - savefs <archive> <filesystem>