Как шифрованно бэкапить один Linux на другой?

Question

[Дмитрий]

Здравствуйте, уважаемые!

1. Есть мой Ubuntu сервер с сайтами, базами и личными данными итого примерно на 1 Тб.
   
2. И есть доступ (100 Мбит/с по лок. сети) к серверу на Gentoo с кучей свободного места и другими пользователями.
   

Хочется делать еженощный дифференциальный или инкрементальный (не опеределился ещё) бэкап своего сервера, но с шифрованием данных на Gentoo, дабы другие его пользователи не получили доступ к моим данным.
Способов сотни, поэтому уже голову сломал какой же лучше выбрать.
Посоветуйте оптимальным способ осуществления задуманного. Везде есть root.

Answer 1

[Макс]

tar => openssl aes-256-cbc -in my_backup.tar.gz -out my_backup.enc => scp ?

Comments

[Дмитрий]

То есть полный бэкап каждый день?

[Макс]

Дмитрий: почему? что мешает тару подсунуть на вход список файлов, изменившихся с момента прошлого бэкапа?

Answer 2

[Nadz Goldman]

Ну эт так, как бы пробный шар предложения.
Я бы сделал так: по ssh идем на gentoo, цепляем пошифрованный диск, на ubuntu стартуем rsync.
Шифрованный диск будет недоступен без ключа.
Ключ валяется на ubuntu в месте, где есть доступ только root.

Comments

[Дмитрий]

Не допонимаю как это будет выглядеть. На gentoo создаётся шифрованный диск и монтируется на ubuntu?

[oni__ino]

Да, создается новое шифрованное блочное устройство которое монтируется с сервера на ubuntu. (я так понял по сообщению).

[Дмитрий]

oni__ino: мм. А чем создаётся и чем монтируется?

[oni__ino]

Дмитрий: ответил ниже.

[Nadz Goldman]

Дмитрий: ну либо так, либо эдак.
Первый вариант.
Создаем некое блочное устройство (диск) на дженте, которое пошифровано.
Через ссш коннектимся к дженте, монтируем диск, далее рсинком льём с убунты.
После окончания рсинка размонтируем шифрованный диск.

Вариант два (помедленней).
Создаем некое блочное устройство (диск) на дженте, которое пошифровано.
При помощи sshfs/fish/прочее монтируем диск с дженты к себе на убунту, после чего рсинком/цп/таром льём файло в блочное устройство.
После окончания заливки размонтируем.

Answer 3

[Влад Животнев]

tar инкремент умеет. Ну а дальше openssl-ем уже.

Answer 4

[oni__ino]

Почитайте про шифрование разделов LUKS и монтирование через SSHFS (например тут и тут) На gentoo создаете физический раздел или lvm или контейнер. Конкретные примеры вам не посоветую, делал давновато, сейчас нет такой необходимости.
Но все было именно так:
Выделил себе раздел с LVM, зашифровал его.
Подключал шифрованный раздел через монтирование sshfs вводил ключ
Далее сгодится любой инструмент на вашей стороне.
У меня трудился еще scp (не был знаком с rsync - сейчас конечно без него никуда)
Можете делать или полный бэкап, или синхронизацию, или архивы, как напишите.
Можно еще пробовать создавать шифрованный контейнер и монтировать его если нет возможности делать разделы.

Answer 5

[Дмитрий]

В конце-концов, подключил нужную директорию по NFS и лью бэкап на него с помощью duplicity и облегчающего жизнь скрипта.

Comments

[Дмитрий]

Единственное, что пока не нравится - медленно. Уже несколько дней грузится ~700 Гб., грузит только одно ядро процессора почти до 100%, при чём по большей части процессом gpg, а утилизация сети выглядит так.