Verschlüsseltes Backup mit OMV möglich?

cruunnerr

Captain
Dabei seit
Okt. 2006
Beiträge
3.865
Hallo zusammen,

ich komm gleich zur Sache

Habe ein ZFS System mit 6x1TB Platten im Mirror. Als Backend dient Proxmox mit viertualisiertem OMV. Aktuell habe ich eine externe USB Platte an OMV weitergereicht, auf der 2x wöchentlich ein Backup aller Daten gespielt wird.
Das ganze via rsync und natürlich inkrementell.
Zudem hab ich noch einen zweiten Server, auf dem die Daten auch nochmal via rsync gesichert werden.
Nun würde ich gerne genau diesen zweiten Server an einem anderen Internetanschluss betreiben -> Stichwort: Örtliche Trennung.

Gedacht hatte ich mir das so:
Ich pack den Server zu einem Freund/Familienmitglied -> Von dort baut der Server immer automatisch beim Hochfahren eine VPN Verbindung zu mir auf. So spar ich mir Portfreigaben oder ähnlichen Kram bei Routerwechsel.

Da ich nun aber das Backup bei meinem Freund unverschlüsselt auf den Festplatten liegen würde, frage ich mich wie hier die "best practice" Lösung aussieht.
Ich könnte natürlich sämtliche Daten in ein Archiv packen und dann das Backup durchführen. Dafür benötige ich aber 1. viel lokalen Zwischenspeicher und 2. wäre das Backup nicht mehr inkrementell, da immer das gesamte Archiv kopiert werden müsste.

Zweite Idee wäre, einfach die ganze Festplatte vom zweiten Server zu verschlüsseln. Der lokale Zugriff wäre auch gesperrt. Damit wäre die Sache eigtl. vom Tisch (gutes root-Passwort vorausgesetzt)

Jetzt mal meine Frage aus Interesse:
Wie sieht das aber mit so Sachen wie "Cold Boot Attack" aus? Da ich den Server ja automatisch starten lassen möchte und er somit auch beim Start selbstständig die Festplatte entschlüsselt wäre ja mit viel bösem Willen so eine Sache denkbar.

Ich weiß, das ist jetzt vielleicht n bisschen Spinnerei, aber lasst uns mal davon ausgehen, das berechtigte Sorgen bestehen. Einfach nur aus Interesse.

Gibt es da passende Lösungen bzw. Anregungen?

Danke
 

SlaterTh90

Lt. Commander
Dabei seit
Nov. 2014
Beiträge
1.754
ZFS kann in den neuen Versionen verschlüsselte Datasets haben. Diese lassen sich dann auch “raw”, also ohne zu entschlüsseln, per ZFS send & receive übertragen. Das ist sowohl inkrementell (sogar mit history auf beiden Seiten wenn man will) und läuft ohne auf dem zweiten Server je das Passwort zu brauchen. Gibt bestimmt noch mehr Möglichkeiten, aber das fällt mir so als erstes ein.
 

xone92

Lieutenant
Dabei seit
Feb. 2010
Beiträge
621
Zweite Idee wäre, einfach die ganze Festplatte vom zweiten Server zu verschlüsseln. Der lokale Zugriff wäre auch gesperrt. Damit wäre die Sache eigtl. vom Tisch (gutes root-Passwort vorausgesetzt)

Jetzt mal meine Frage aus Interesse:
Wie sieht das aber mit so Sachen wie "Cold Boot Attack" aus? Da ich den Server ja automatisch starten lassen möchte und er somit auch beim Start selbstständig die Festplatte entschlüsselt wäre ja mit viel bösem Willen so eine Sache denkbar.
Wenn man physikalischen Zugriff auf ein System hat kann man immer an die Daten heran. Vielleicht mit nicht nur ein zwei Handgriffen. Machbar ist es aber.

Du willst ja verschlüsseln aber auch beim Reboot automatisch entschlüsseln. Da muss der Key ja irgendwo lokal vorhanden sein.
 

cruunnerr

Captain
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
3.865
Genau deshalb ja die Frage wie/ob es möglich ist ein inkrementelles Backup zu schaffen, welches eben die Daten clientseitig verschlüsselt.

Ich hab den Schlüssel (und Server 1 natürlich)
Server 1 soll den Backupvorgang anstoßen und dabei aber die Daten, die noch nicht synchronisiert sind, verschlüsseln und dann rüberschicken zu Server 2. So sind die Daten verschlüsselt auf Server 2, aber der Schlüssel nur auf Server 1.

Die Sache ist halt, dass wir von aktuell 500GB Daten sprechen. Deshalb sollen nur die noch nicht gesicherten Daten zu Server 2 geschickt werden, dort aber eben verschlüsselt

Edit:
@SlaterTh90
Sorry, hab deinen Post übersehen, da ich auf dem Handy schreibe.

Das Backup mach ich aktuell mit OMV.
das ZFS ist aber auf Proxmox erstellt. Die Daten hab ich also auch nur im OMV verfügbar.
Aber guter Hinweis. Ich les mich da mal rein
 

SlaterTh90

Lt. Commander
Dabei seit
Nov. 2014
Beiträge
1.754

cruunnerr

Captain
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
3.865
Hallo nochmal,

für alle, die durch ihre Suchen auf diesen Thread stoßen...

Ich hab nach weiterer Recherche BorgBackup und Duplicati gefunden und in die engere Auswahl genommen. Da ich nun als Backup System eine alte Synology verwenden wollte bin ich bei Duplicati geblieben, da BorgBackup den kleinen "Nachteil" (wenn man es so nennen kann) hat, das auf beiden Systemen (Quell- und Zielsystem) jeweils BorgBackup installiert sein muss. Ergo leicht höherer Wartungsaufwand und Einrichtungsaufwand.

Ich hab nun Duplicati auf die gleiche VM wie OMV installiert (also parallel). Duplicati kann eigtl. alles was ich will. Es verschlüsselt die Quellverzeichnisse und schiebt sie auf das Zielverzeichnis. Dabei kann man die Dateigrößen der verschlüsselten Daten selbst bestimmen.
Das Backup geschieht inkrementell und so werden auch nur die geänderten Daten übertragen. Zudem kann man bestimmen wie viele Backups erhalten bleiben sollen, so hat man z.B. auch die Möglichkeit jeweils ein jährliches, ein Wöchentliches und ein tägliches Backup zu speichern. Sehr komfortabel.

Die Synology verbindet sich nun via OpenVPN zu meinem Netzwerk und Duplicati schiebt die Dateien in ein WebDAV Verzeichnis auf die Synology.... Funktioniert :)

SFTP ging leider nicht... Da hat Duplicati mir immer das tmp-verzeichnis vollgeschrieben und die Dateien nach dem Kopieren irgendwie nicht gelöscht. Scheint aber bei vielen ein Problem darzustellen (also das Vollschreiben des Typ-Ordners).

Abhilfe schafft dann ein Neustarten des Dienstes. Es bleibt abzuwarten wie stabil die Lösung läuft, da Duplicati es wohl seit Erscheinen nicht aus der Beta-Phase geschafft hat.

Aber die ersten Tests sahen schonmal ganz gut aus.
 
Top