Bol*_*wyn 5 backup rsync ecryptfs
我们有一个小型网络,中间有 Ubuntu 服务器,周围有 Ubuntu 笔记本。笔记本都使用 eCryptfs 来加密用户的整个主目录。通常,每个笔记本有两个或更多用户。备份过程保留在网络内部,因此我们可以将未加密的文件传输到服务器。我们希望采用rsync基于解决方案的解决方案,但也适用于其他解决方案。
我们在尝试备份笔记本的主目录时遇到了困难,这给我们带来了很大的麻烦。归结为:
如果用户 A 登录,则主目录被解密,并且其中的加密文件/home/.ecryptfs/A被锁定以防止从其他进程读取(这是一件好事)
如果用户 B没有登录,他的家目录没有被解密,只有加密的文件在/home/.ecryptfs/B.
我们需要一个备份脚本,当用户 A 登录(因为在我们的例子中她手动启动它)并且用户 B 可能登录也可能不登录(通常不会)时,我们需要一个可以运行的备份脚本。
现在的问题是:我们应该备份什么?如果我们去加密数据,用户A的东西是无法备份的。另一方面,解密数据意味着用户 B 也必须登录。当涉及到恢复某些东西时,将两者混合在一起会带来一段有趣的时光。
也许我们错过了这个问题的其他解决方案?
您确定该内容/home/.ecryptfs/A已锁定以供阅读吗?我使用 ecryptfs,当我登录时,可以浏览和读取/home/.ecryptfs/myusername/.Private. 我只是尝试进入该目录(和子目录)并打开文件(使用vim -b),我可以很好地阅读它们。我当然希望它们被锁定以进行写入,但我不明白为什么它们会被锁定以进行读取。您使用什么操作系统版本?(我使用的是 Ubuntu Lucid 10.04)。也许就您遇到的错误提出一个单独的问题,因为可能是其他原因导致了问题。
直接回答你的问题-备份/home/.ecryptfs/. 这将为所有用户备份所有文件(加密副本)。
此外,如有必要,您应该能够解密文件。因此,您应该将解开的密码存储在安全的地方,以防用户忘记密码,离开......要获取它,让用户运行
ecryptfs-unwrap-passphrase
登录时,并将结果存储在某处。它足够小,您可以将其写下来(两次三重检查)并将其存放在保险箱中,或者让两个人各保留一半或类似的东西,具体取决于您需要多少安全性。
否则您将需要/home/.ecryptfs/*/.ecryptfs/wrapped-passphrase用户的密码。
您还应该注意,同步加密数据时,rsync 将无法加快文件传输速度。未加密文件中的任何更改都会完全更改加密文件。而且压缩对于加密数据并不起作用。对于您的情况来说,这不应该是一个大问题,因为同步是通过 LAN 进行的,但对于阅读此问题的其他人来说可能很重要。尽管 rsync 仍然可以检查加密文件是否未更改,因此不必重新传输未更改的文件。
这个问题的读者可能也对ecryptfs 维护者的备份指南感兴趣。