我想要的主要想法是运行 rsync 的备份脚本将我的 /home/.Private/user 目录复制到另一台服务器。这将允许备份脚本不知道数据,但意味着远程备份将是安全的。这样我就不用担心他们会发生什么。我希望可以通过在新构建的计算机上重新创建具有相同 UID 的用户然后将数据复制回来来恢复计算机。
我只是想知道是否需要一些隐藏的东西......或者我是否对它的简单性感到天真!
答案1
是的,这绝对是可行的!
你只想跑同步从远程机器。
为了备份我的加密数据,我每小时使用一次定时任务, 像这样:
00 * * * * rsync -aP username@remotehost:/home/.ecryptfs/username /path/to/local/backup
请注意,该目录/home/.ecryptfs/username有两个子目录:
/home/.ecryptfs/username/.ecryptfs
/home/.ecryptfs/username/.Private
该.ecryptfs目录包含有关您的 eCryptfs 挂载的元数据:
-rw-r--r-- 1 username groupname 0 2011-05-02 17:38 auto-mount
-rw-r--r-- 1 username groupname 0 2011-05-02 17:38 auto-umount
-rw------- 1 username groupname 15 2011-05-02 17:38 Private.mnt
-rw------- 1 username groupname 34 2011-05-02 17:38 Private.sig
-rw------- 1 username groupname 48 2011-05-02 17:39 wrapped-passphrase
auto-mount并且auto-umount只是旗帜;如果存在,pam_ecryptfs 将在登录和注销时自动挂载和卸载。
Private.mnt包含将安装加密目录的路径,通常是$HOME或$HOME/Private。
Private.sig包含一行或两行,指定安装密钥的签名或哈希值。第一行始终是文件内容加密密钥的签名,第二行(如果存在)是文件名加密密钥的签名。
wrapped-passphrase绝对是该目录中最重要的文件,没有它,恢复数据几乎是不可能的。该文件内包含您的实际挂载密码 — 通常是使用您的登录密码加密的 16 或 32 个十六进制字符的字符串。
你会最肯定的是想要存储此文件的备份,但您可能不希望将其存储在备份加密数据的同一位置(或同一系统上)。你应该真的将您的密钥和加密数据分开保存。
最后,.Private数据包含您实际的加密数据。