Kryptatut varmuuskopiot toiselle koneelle

Ensimmäisen kerran ohje.

Aloita kirjautumalla palvelimelle. Ohjeessa käytetään lakka.kapsi.fi:tä palvelimena.

ssh invaliduser@lakka.kapsi.fi

Luo sopivaan lokaation backuppausta varten image dd:llä.

dd if=/dev/zero of=sopiva_lokaatio/kone.img bs=1k count=0 seek=$[1024*1024*10]

Tässä viimeinen 10 on imagen koko gigoina. Koko kannattaa määrittää siten, että se sopii levylle. Tuolla tavoin tehty image ei oikeasti vielä täytä tätä tilaa.

Seuraavaksi palataan takaisin lokaalille koneelle. Palvelimella oleva image pitää saada lokaalille koneelle käpisteltäväksi. Tähän voidaan käyttä sshfs:ää. SSHfs löytyy paketista sshfs.

apt-get install sshfs

Sopiva mounttauskansio kannattaa myös muistaa tehdä, tässä lakka_backups.

mkdir lakka_backups
sshfs -o allow_root lakka_backups invaliduser@lakka.kapsi.fi:sopiva_lokaatio/

Seuraavaksi tarvitsee tehdä imagelle kryptattu tiedostojärjestelmä. Tehdään aluksi imagesta sopiva loop-device:

sudo losetup /dev/loop7 polku/paikkaan/mihin/ssfs/mountattiin/kone.img

Seuraavaksi luodaan kryptaus käyttäen luks-standardia ja aes-salausta sha512 hashilla, optioita saa muuttaa mieleisekseen. Tätä ennen kannattaa mahdollisesti sanoa modprobe seuraaville moduuleille:

dm_crypt, aes_x86_64, sha512_generic

eli:

modprobe dm_crypt modprobe aes_x86_64 modprobe sha512_generic

Sitten kryptaus:

Aloitetaan hankkimalla sopiva salasana. Salasanaksi tulee asettaa riittävän pitkä ja monimutkainen salasana, muuten suojauksesta ei ole mitään hyötyä. Sopivan salasanan saa esimerkiksi komennolla:

pwgen -y 128

Huom!Unohtunutta salasanaa ei saa palalutettua mitenkään! Joten jos et muista salasanaa varmasti ulkoa laita se talteen johonkin turvalliseen paikkaan, esimerkiksi paperilapulle. Elä missään nimessä tallenna salasanaa mihinkään salaamattomaan tiedostoon.

sudo cryptsetup -y --hash sha512 -s 256 luksFormat /dev/loop7
#- Ohjelma kysyy sinulta äsken määrittämääsi salasanaa. 

Kryptatun osion avaaminen:

sudo cryptsetup luksOpen /dev/loop7 backup
#- Kirjoita salasana

Mikäli ohjelma suoriutui ilman virheitä, muistit salasanasi. Osio löytyy nyt kryptaus avattuna tiedostosta /dev/mapper/backup

Luodaan osiolle tiedostojärjestelmä:

sudo mkfs.ext2 /dev/mapper/backup

Lopuksi liitetään tiedostojärjestelmä koneeseen

sudo mkdir /backup
sudo mount /dev/mapper/backup /backup
sudo chown käyttäjätunnuksesi /backup

Nyt sinulla on cryptattu tiedostojärjestelmä, mikä sijaitsee toisella palvelimella.

Käyttö normaalitilanteessa:

Normaalitilanteessa image on jo valmiiksi luotu. Se tarvitsee vain liittää koneeseen. Liittäminen onnistuu seuraavasti:

sshfs -o allow_root lakka_backups invaliduser@lakka.kapsi.fi:sopiva_lokaatio/
sudo losetup /dev/loop7 polku/paikkaan/mihin/ssfs/mountattiin/kone.img
sudo cryptsetup luksOpen /dev/loop7 backup
#- Kirjoita salasana
sudo mount /dev/mapper/backup /backup

Nyt voit käytttää sopivaa komentoa backuppien tekemiseen, suositeltava komento on:

rsync -aHAX --numeric-ids /kansio/ /backup/kansio

Kun backuppaus on suoritettu, voi levyn irroittaa irrottamalla ensin osion, sitten cryptatun imagen ja loop-laitteen.

sudo umount /backup
sudo cryptsetup luksClose /dev/mapper/backup
sudo losetup -d /dev/loop7
fusermount -u polku/paikkaan/mihin/ssfs/mountattiin/