Achtung: Eine neuere Version dieses Artikel findet ihr hier
Das Backup wichtig ist und die vorhandenen Daten auf einem Computer prinzipiell immer den Wert einer zusaetzlichen Festplatte uebersteigen, sollte wohl den meisten klar sein.
Allerdings ist eine externe Festplatte auch ein Sicherheitsrisiko. Prinzipiell koennte jeder die Festplatte an seien PC anschliessen und haette Zugriff auf alle gespeicherten Daten. Dieses Problem laesst sich mit der Verschluesselug der betroffenen Daten loesen - wenn man bereit ist einen etwas geringeren Datendurchsatz in Kauf zu nehmen.
In der letzten Woche war ich nicht gerade untaetig. Ich habe zuerst mal meine Backup-Festplatte verschluesselt und das ganze dann in rsnapshot automatisiert.
Hier kommt mal ein kleines Howto dazu:
Vorbereitung
Zuerst muss im Kernel dmmod und dmcypt aktiviert sein. Dies ist bei den meisten Distributionen sowieso der Fall. Bei einem selbst gebauten Kernel benoetigt man folgende Optionen:
Device Drivers --->
Multi-device support (RAID and LVM) --->
[*] Multiple devices driver support (RAID and LVM)
<> RAID support
<M> Device mapper support
<M> Crypt target support
Cryptographic options --->
--- Cryptographic API
<M> SHA256 digest algorithm
<M> Blowfish cipher algorithm
<M> AES cipher algorithms (i586)
Zusaetzlich wird noch cryptsetup-LUKS benoetigt.
Danach werden die Daten auf der Festplatte zerstoert:
dd if=/dev/urandom of=/dev/sdc1
oder wer es schneller und dafuer etwas unsicherer will:
dd if=/dev/zero of=/dev/sdc1
/dev/sdc1 ist hierbei das Device der verwendeten Festplatte. Bei ersten Befehl wird die Festplatte oder Partition mit Zufallswerten ueberschrieben. Beim zweiten mit Nullen. Ich empfehle hierzu die Manpage von DD. Alternativ kann man auch mit dem Befehl shred arbeiten. Hier ist ein lesenswerter Artikel dazu.
Verschluesseln
Ist die Festplatte sauber, kann man mit sie cryptsetup formatieren:
cryptsetup -c aes-cbc-essiv:sha256 -y -s 256 luksFormat /dev/sdc1
Hiermit wird eine AES-Verschluesselung, SHA256 Hashes, ESSIV in Verbindung mit einem 256-Bit Schluessel verwendet.
Die Option "-s" gibt die Laenge des Schluessels an und die Option "-y" fordert den User auf eine Passphrase zu waehlen. Alternativ kann man mit "-d" auch ein Keyfile statt der Passphrase verwenden.
Weitere Optionen findet man in der Manpage.
Nun legt man sein Crypto-Device an:
cryptsetup luksOpen /dev/sdc1 backup
An dieser Stelle wird man nach der Passphrase gefragt, die man beim Formatieren eingegeben hat. Verwendet man ein Keyfile, muss man dieses ebenfalls mit "--key-file" angeben.
Der Befehl legt ein neues Device unter /dev/mapper an. In unserem Fall /dev/mapper/backup. Dieses kann man nun wie ein normales Blockdevice formatieren, mounten und beschreiben. Die Ver- und Entschluesselung laeuft transparent im Hintergrund ab.
Formatieren:
mkfs.ext3 /dev/mapper/backup
Mounten:
mount -t ext3 /dev/mapper/backup /mnt/tmp
Alle Daten die man nun in /mnt/tmp speichert, landen verschluesselt auf der Platte.
Will man die Platte wieder abhaengen geht man folgernder massen vor:
Festplatte unmounten:
umount /mnt/tmp
Un danach Crypto-Device schliessen:
cryptsetup luksClose /dev/mapper/backup
Jeder der jetzt auf die Daten der Festplatte zugreifen will, braucht die Passphrase bzw. das Keyfile.
Automation
Um diese komplette Prozedur nicht jedes mal aufs neue ausfuehren zu muessen, kann man das ganze auch automatisieren. Zuerst lege ich einen Eintrag in der /etc/fstab an:
/dev/mapper/backup /backup ext3 noatime,data=ordered,noauto,noexec 0 0
Danach kommen die Optionen in der /etc/rsnapshot.conf:
Specify the path to a script (and any optional arguments) to run right
before rsnapshot syncs files
#
cmd_preexec /bin/cryptsetup luksOpen /dev/sdc1 backup && /bin/sleep 1 && /bin/mount /backup
Specify the path to a script (and any optional arguments) to run right
after rsnapshot syncs files
#
cmdpostexec /bin/umount /backup && /bin/sleep 1 && /bin/cryptsetup luksClose backup
Hier muessen zwischen cmd[pre|post]exec und dem eigentlichen Befehl TABs und keine Leerzeichen stehen, da rsnapshot seinen Dienst verweigert wenn letztere dort stehen.
Nun ein finaler Testlauf:
[root@wopr:~]# rsnapshot hourly
Enter LUKS passphrase:
key slot 0 unlocked.
Command successful.
Weiterfuehrende Links:
Wichtig:
Ich uebernehme keine Verantwortung fuer Datenverlust. Ihr solltet euch beim loeschen und Formatieren absolut sicher sein, dass ihr das richtige Device verwendet und sich auf der Platte keine wichtigen Daten befinden!
