Вопросы Теги

Стратегия резервного копирования eCryptfs

VMs не всегда играют хорошо с ntp.

Если Вы используете VMware, устанавливаете инструменты VMware. Затем существует установка в .vmx файл называют time.syncTime это должно быть установлено на TRUE (хотя время, кажется, остается sync'd, так как я устанавливаю Инструменты VMware даже набор к значению по умолчанию FALSE).

Вот некоторые другие настройки VMware: (из http://www.vmware.com/pdf/vmware_timekeeping.pdf):

  • tools.syncTime Если установлено на TRUE, тактовые синхронизации периодически.
  • time.synchronize.continue Если установлено на TRUE, тактовые синхронизации после взятия снимка.
  • time.synchronize.restore Если установлено на TRUE, тактовые синхронизации после возвращения к снимку.
  • time.synchronize.resume.disk Если установлено на TRUE, тактовые синхронизации после возобновления от приостанавливают и после миграции на новый хост, использующий функцию VMware VMotion.
  • time.synchronize.shrink Если установлено на TRUE, тактовые синхронизации после дефрагментации виртуального диска.
  • time.synchronize.tools.startup Если установлено на TRUE, тактовые синхронизации, когда демон инструментов запускает, обычно в то время как гостевая операционная система загружается.

5
задан 20 August 2010 в 11:58
3 ответа

Вы уверены это /home/.ecryptfs/A заблокирован для чтения? Я использую ecryptfs и в то время как я зарегистрирован и могу просмотреть и считать файлы в /home/.ecryptfs/myusername/.Private. Я просто попытался войти в тот каталог (и подкаталоги) и открыть файлы (использование vim -b) и я мог считать их прекрасный. Я, конечно, хотел бы их заблокированный для записи, но я не вижу, почему они были бы заблокированы для чтения. Какую версию ОС Вы используете? (Я нахожусь на Ubuntu Ясные 10.04). Возможно, задайте отдельный вопрос об ошибках, которые Вы получаете, потому что, возможно, что-то еще вызывает проблему.

Для прямого ответа на вопрос - создают резервную копию содержания /home/.ecryptfs/. Это скопирует (зашифрованные копии) все файлы для всех пользователей.

Кроме того, необходимо смочь дешифровать файлы при необходимости. Таким образом, необходимо сохранить развернутый пароль, где-нибудь защищают, в случае, если пользователь забывает их пароль, листы... Для получения его выполните пользователя

ecryptfs-unwrap-passphrase

в то время как зарегистрированный, и хранилище результат где-нибудь. Это является достаточно маленьким, что Вы могли записать его (дважды трижды проверяют его), и сохраните его в сейфе, или имейте двух человек, сохраняют половину из него каждый или некоторые такой, завися, какого количества безопасности Вы требуете.

Иначе Вам было бы нужно /home/.ecryptfs/*/.ecryptfs/wrapped-passphrase и пароли пользователей.

Необходимо также отметить, что rsync не сможет ускорить передачи файлов при синхронизации зашифрованных данных. Любое изменение в незашифрованном файле полностью изменит зашифрованный файл. И сжатие не будет действительно работать с зашифрованными данными. Это не должно быть большой проблемой для Вашего случая, где синхронизация через LAN, но может быть важна для других людей, читающих этот вопрос. Хотя rsync может все еще проверить, неизменен ли зашифрованный файл, таким образом, он не будет иметь к повторному переводу неизменных файлов.

Читатели этого вопроса могли бы также интересоваться этим руководством по резервному копированию специалистом по обслуживанию ecryptfs.

4
ответ дан 3 December 2019 в 01:34

По-видимому, пароль пользователя, не присутствующего, абсолютно необходим для дешифрования. Следовательно Ваша единственная опция состоит в том, чтобы искать решение, которое создает резервную копию зашифрованных файлов, и используйте это для обоих пользователей. Это имеет преимущество, что по-видимому конфиденциальная информация также шифруется на резервных носителях - который может быть важным, если Вы передаете его вокруг места (для прилегающего объекта).

Я не знаком с ecryptfs, но он кажется, что файлы являются стандартными файлами при просмотре базовой файловой системой (в предположении ext3).

Так, 1) 'исходный' каталог, который содержит зашифрованные данные на самом деле где-то в другом месте, и затем смонтированный так, чтобы незашифрованная версия появилась в местоположении, которое Вы дали - в этом случае Вы могли просто получить зашифрованные данные от исходного местоположения. Часть документации человечности предполагает, что незашифрованные частные файлы - то, что Вы видите в/home/.ecryptfs/A/Private, и их зашифрованные дубликаты на самом деле присутствуют в/home/.ecryptfs/A/.Private. Если так, и Вы используете rsync, у Вас будет зашифрованный.Private каталог для обоих пользователей так или иначе, и для ясности Вы могли использовать исключить опции rsync предотвратить резервное копирование незашифрованного каталога Private.

2) С другой стороны, Вы подвергаете сомнению, читает немного как вся папка (или B) шифруется, и возможно unecrypted и зашифрованные версии монтируются в том же местоположении. Если так, могли Вам попробовать что-то нравится, монтируют, что-o ro - связывают/home/.ecryptfs/A/mnt/encryptedA, который предоставил бы другую точку доступа каталогу A через/mnt/encryptedA. Если бы это было сделано то перед пользовательским входом в систему затем возможно Вы сохранили бы доступ к зашифрованной версии через/mnt/encryptedA даже, в то время как/home/.ecryptda/A предоставляет доступ к незашифрованной версии. Я не знаю, будет ли это работать - необходимо было бы просто попробовать его и видеть.

2
ответ дан 3 December 2019 в 01:34

Почему не "только" синхронизируются, их файлы на выходят из системы к доле. этот путь вместо того, чтобы иметь необходимость вручную запустить Ваше задание, которое это "автоматически выполнит" (крон, событие действия...) копирует незашифрованные файлы в долю (который может или не может быть зашифрован), и затем зашифруйте его собственный FS снова перед тем, чтобы выходить из системы.

Я вижу это не быть окончательным решением, но это означает, что user'll всегда имеют актуальное резервное копирование, так как его файлы синхронизируются на сервере. И если пользователь B не вошел в систему некоторое время, то нет никакого вреда в не резервном копировании его, потому что его файлы не будут изменяться для начала.

Это - что-то вроде того, к чему Вашему поиску, или Вы стремитесь больше.... оптимизированный, все в одном решении?

Идеально, хотя зажимание партии по ЗАШИФРОВАННОЙ передаче для резервного копирования было бы лучше с тех пор прямо сейчас, Вы оставляете свое ценное право данных открытым для человека в середине и / или осуществляющие сниффинг попытки.

0
ответ дан 3 December 2019 в 01:34
  • 1
    @Luke: s/network/intranet/, если это более ясно. Владелец может использовать его вне интранет, также. И затем, никакое резервное копирование не будет сделано. –  Boldewyn 24 August 2010 в 09:18
  • 2
    Нечетный. Насколько я помнил бы, я никогда не уведомляю относительно Вашего ответа. Все пользователи используют ту же пару имени пользователя/пароля, которую мы не присвоили. Символьная строка для пароля является комбинацией букв, чисел и одного символа. После того как мы являемся, что восемь символов не могут играть роль, мы усеченный пароль, но продолжать испытывают затруднения и наконец отбросить подход как решение. "Парень, ответственный" все еще, хочет что-то подобное, но я еще не придумываю хорошую идею.---------121-------129785----Другие вещи рассмотреть: Если пользователь A будет отсутствовать в течение долгого времени, то у них будет много изменений в синхронизации. Как терпеливый будут ими ожидающий для входа в / том, в то время как материал копируется? (Это - проблема, часто цитируемая против Windows "профили роуминга" FWIW) –  voretaq7 27 August 2010 в 18:10

Теги

Похожие вопросы