Как поставить пароль на архив tar/gzip?

Question

[Камил]

Здравствуйте!
Подскажите пожалуйста, появилась задача, установить пароль при создании архива с бэкапом.
Сейчас использую просто скрипт на баше, такого вида

mysqldump -u $USER -p$PASS --ignore-table=myBase.log_chat --ignore-table=myBase.log_main --routines $DB > $BACKUP_DIR/mysql.sql
+ tar -czvf $ARCHIVE $BACKUP_DIR
На выходе я получаю .tar.gz архив, и все бы ничего, но как его защитить?
Каким образом можно поставить пароль на архив?

Comments

[CityCat4]

openssl, gpg. Передаешь архив пайпом в openssl, пароль можно с клавы вводить, либо ключом шифровать. GPG в принципе то же самое, только другая программа.

Answer 1

[mayton2019]

Tar и gzip это очень старые утилиты. Им по 30-40 лет. И создавались они в те времена когда симметричное шифрование еще не было так развито.

Но архивчик можно после упаковки зашифровать другими утилитами например openssl.

openssl enc -in file.txt -out encypted_file.txt -e -aes256

Я так делал когда шифровал бекапы oracle dbms.

Если переписать чуть лучше скрипт - то можно объединить операции tar->gzip->openssl в один пайплайн
без воздания промежуточных файлов.

Comments

[pfg21]

зачем tar если дамп делается в один поток ?? :)

[mayton2019]

pfg21, это не ко мне вопрос. Может он в каталог еще какие-то файлы подкидывает постфактум.

[Камил]

mayton2019, да так и есть, база мускуля + плюс файлы

Answer 2

[Saboteur]

mysqldump -u $USER -p$PASS --ignore-table=myBase.log_chat --ignore-table=myBase.log_main --routines $DB > $BACKUP_DIR/mysql.sql
+ tar -czvf $ARCHIVE $BACKUP_DIR

Странное применение targzip в данном случае. совершенно бессмысленное.
Юзай просто zip, у него есть -e (encrypt) опция, но там слабенькая защита. уж проще openssl, как указали в другом ответе.

Чтоже касается tar. Весь смысл тар и gzip в том, что они умеют работать с потоком, а не файлом. Поэтому то, что вы сперва сохраняете в файл, а потом отдельно еще в tar/gz - бессмысленная работа, которая ничего не дает. Вдобавок и сам тар там не нужен, у вас же один файл.
Поэтому можно сделать так:

mysqldump -u $USER -p$PASS --ignore-table=myBase.log_chat --ignore-table=myBase.log_main --routines $DB | gzip > $BACKUP_DIR/mysql.gz

и потом шифровать файл чем угодно.
Или сразу:

mysqldump -u $USER -p$PASS --ignore-table=myBase.log_chat --ignore-table=myBase.log_main --routines $DB | gzip | openssl enc -aes-256-cbc -out encrypted $BACKUP_DIR/mysql.gz.encrypted

Пароль или руками или перенаправить

mysqldump -u $USER -p$PASS --ignore-table=myBase.log_chat --ignore-table=myBase.log_main --routines $DB | gzip | openssl enc -aes-256-cbc -out encrypted $BACKUP_DIR/mysql.gz.encrypted<<<"mysecretpassword"