我在设置系统来备份几台计算机时遇到了麻烦,它有几个分区是 LUKS 上的 LVM,并且服务器没有磁盘加密。我的计算机已加密,我很乐意将密钥存储在其中,但我找不到任何好的方法。分区位于网络磁盘上,应该在客户端系统启动时自动安装。如果可能的话,服务器不应该记住 RAM 之外的密钥。服务器和我的计算机都在 18.10 上。
编辑:如果可能的话,服务器不应该访问数据。
编辑 2:系统布局是https://m.imgur.com/a/pMX3o1e。
答案1
你问的是如何在服务器无法访问数据的情况下远程访问 LUKS 加密磁盘。我会忽略它,因为它大概这不是你想要的。你想要的是加密备份,而不是加密的块级远程磁盘访问。
我通常采用两种方法来解决这个问题:
- 使用加密文件系统。
- 在备份程序中加密备份。
加密文件系统
这是内容中立的。任何存放在虚拟文件系统上的内容在存储之前都会被加密。网络访问可以通过 Samba 或 NFS、sshfs 或任何其他远程访问文件系统的技术来执行。
encfs是一个很好的加密虚拟文件系统。你可以使用sudo apt install encfs
要创建虚拟加密文件系统,请在终端中运行以下命令
encfs /path/to/mounted/remote/storage ~/encrypted_storage
这将启动一个向导,让您配置存储。创建并安装存储后,您放入其中的所有内容~/encrypted_storage在实际写入磁盘之前都会被加密。加密将在您运行 -command 的机器上进行encfs。
要卸载它,请运行fusermount -u ~/encrypted_storage。
要再次安装它,只需运行用于创建它的原始命令,它将检测它为现有 FS,并要求输入密码。
加密备份数据
我认为这是一个更好的解决方案。尤其是重复支持强加密,允许使用 AES-256 和 GPG 作为加密选项。从安全角度来看,GPG 是一款经过严格审查的软件。
此外,这使得将备份移至其他备份提供商(例如 BackBlaze、Amazon S3 或任何其他服务)变得轻而易举:由于备份数据本身是加密的,因此您不必担心提供商。服务器将无法访问您的备份数据,只能元数据,例如上次备份的时间、大小以及使用的备份系统。无论如何,这些元数据都会提供给服务器。
如果您确实想要为远程卷使用 LUKS,请看看 iSCSI。它的设置工作量要大得多,灵活性要差得多,而且可能不是您想要的。