Meilleure pratique pour sauvegarder un périphérique chiffré LUKS

Quelle est la méthode la plus rapide pour sauvegarder et restaurer un périphérique chiffré luks (par exemple, un périphérique USB chiffré complet dans un file image).

Le périphérique USB peut être décrypté / accédé . Je cherche une solution pour monter l'image de sauvegarde sous forme de file (encrypté). Est-ce possible?

Restez simple, stupide.

cryptsetup gère les files d'image aussi bien que bloquer les périphériques, si c'était votre question. Donc, si vous faites une image dd (qui sera énorme énorme) cela fonctionnera. Et si ce n'était pas le cas, vous pourriez simplement créer le périphérique en boucle.

La meilleure pratique (si vous voulez conserver la sauvegarde cryptée) consiste à crypter le disque de sauvegarde, puis à ouvrir les deux conteneurs, puis à exécuter les solutions de sauvegarde de votre choix comme vous le feriez avec des filesystems non cryptés. Ce ne sera pas la méthode la plus rapide car elle décrypterait datatables du disque source, puis les rechiffrerait pour le disque de sauvegarde. D'un autre côté, il permet des solutions de sauvegarde incrémentielles, il devrait donc toujours battre la création d'images dd en moyenne.

Si vous voulez coller à dd , la seule façon de faire quelque chose de plus rapide que dd serait une partimage des sortes qui prend l'en-tête LUKS et le décalage en count, donc il ne stockerait que datatables cryptées qui sont réellement utilisées par le système de files.

Si le disque source est un disque SSD et que vous autorisez TRIM à l'intérieur de LUKS, et que le SSD affiche les régions découpées en tant que zéros, vous obtenez ce comportement gratuitement avec dd conv=sparse . Ce n'est pas encore quelque chose que je reorderais.

La méthode la plus simple consiste à rendre le système de sauvegarde indépendant du système de encryption. Créez un volume chiffré pour la sauvegarde. Montez le volume d'origine et le volume de sauvegarde, et exécutez votre logiciel de sauvegarde au niveau du système de files favori.

Outre la simplicité, un avantage de cette méthode est que le volume de sauvegarde n'a pas besoin d'avoir la même taille et le même contenu que l'original. Vous pouvez sauvegarder dans un sous-directory, effectuer des sauvegardes incrémentielles, etc.

Il y a aussi un très léger avantage de security. Si un attaquant attrape votre sauvegarde et trouve votre mot de passe et que le volume de sauvegarde est une copy directe du volume crypté, vous devrez recrypter le volume d'origine. Si le volume de sauvegarde est chiffré indépendamment, il suffit de changer le mot de passe sur le volume d'origine.

Ce que j'ai fait

 cryptsetup luksOpen <device> <name> fsarchiver -c - savefs <archive> <filesystem>