Про бэкапы и их шифрование

encfs, например.

Только долго же...

А если ecryptfs, то быстро же (это не FUSE). Главное, не на XFS.

Да все равно, какой тип шифрования выбрать: по-любому будет медленнее записи на диск без шифрования.

А encfs безопасней: если один-два файла попортятся, все остальное останется.

Можно использовать программу duplicity. В особенности учитывая, что данные только добавляются.

По сути это будет что-то типа rsync + tar + gpg +хранение метаинформации.

Для ядерного LUKS разница не велика. Всё-таки, запись на диск медленная операция, выполняемое процессом шифрование не столь существенно.

А то может я соберусь купить второй винт для жены и ящика

И сделать его доступным по сети, называется nas. Что бы не таскать туда сюда и шнурочки не втыкать то и дело.

В ecryptfs тоже. Кстати, а чем в этом плане отличается дисковое шифрование (cryptsetup)? Там может испортиться любой блок, но это не затронет другие блоки. Ну и как бы есть барьеры, поэтому де-факто целостность данных на LUKS-томе зависит только от целостности ФС. Метаданные LUKS можно легко бэкапить.

Есть у меня дома NAS, и не один (медиа-девайс с linux и sata-винтом, стационарник), только вот я этим почти полностью перестал пользоваться т.к. я мобилен. На домашние винты сложил только данные архивной ценности (фотки там всякие), а с текущие данные как-то на usb-винте удобней.

я бы предпочел медленней, но не образом а файлами, как в encfs. Согласен с аргументом про надежность.

А можно как-то быстро, удобно и так чтобы не утекли данные, если у меня сопрут рюкзак? Какие варианты кроме шифрования?

А я предложил не «файлами»? eCryptFS размещается в стеке над основной ФС, и в отличие от EncFS находится в ядре, что прибавляет скорости.

Согласен с аргументом про надежность.

Зря :)

Кстати, по поводу того, что выполняемые процессором операции не важны - у меня атом, насколько я знаю он не умеет аппаратно aes, так что шифрует не быстро =) В этом контексте хочу спросить - а что вы думаете насчет шифрования хомяка на лету, ну типа encfs? Просто я как-то ставил убунту, когда в ней появилась опция в инсталляторе «шифровать домашний каталог» и как-то регресса производительности не заметил. Но я тестировал её всего около часа, потом снес. Что думаете?

а я ничего про ecryptfs не знаю, но так понял из сообщения Эдди что оно шифрует целиком образ или файловую систему, как truecrypt. Раз оно работает поверх фс, то это все меняет и мне надо её попробовать. Тогда не понимаю почему в ubuntu предпочли encfs? Попробую угадать - ecryptfs работает со всей файловой системой и не может с отдельной директорией. А у меня $HOME на одном разделе с корнем =( Придется переразмечать или юзать encfs. А для USB... не хочется отдельный раздел создавать, видимо туда тоже encfs больше подойдет =(

выберу её для бэкапов, если не зашифрую целиком раздел =) спасибо

Тогда не понимаю почему в ubuntu предпочли encfs?

Это давно было, сейчас у них из коробки eCryptFS.

Попробую угадать - ecryptfs работает со всей файловой системой и не может с отдельной директорией.

Может.

так чтобы не утекли данные, если у меня сопрут рюкзак?

Вам жалко, что они утекут?

Лично мне более жалко было бы сам рюкзак и его содержимое. А данные, которые у меня на жестких дисках хранятся, вряд ли кому интересны.

Какие варианты кроме шифрования?

Никаких.

угу, я как раз прочитал про это. Спасибо, похоже то что надо для хомяка. А для бэкапов видно duplicity придется использовать... мне не хотелось её использовать т.к. формат хранилища какой-то свой. В случае git как-то спокойней.

Кстати, есть офигенская штука bup. Она использует формат хранилища git bare, только правильно работает с большими бинарными файлами - режет их на части, чтобы хранить историю изменений без избыточности. Я бы её использовал, но пока она как-то нестабильно работает. Но идея супер. Кроме того в комплекте fuse-слой для монтирования бэкапа в виде нормальной файловой структуры и пару других плюшек типа этой.

Я это не для развлечения делаю, есть конфиденциальные данные.

Вот их и шифровать. У меня тоже на работе сканы документов (паспорта, дипломов и т.д., и т.п.) лежат в зашифрованной encfs директории.

Я подумал что проще шифровать всю пользовательскую директорию, чем думать что где у меня лежит. Помимо личных и рабочих данных есть ещё такие, которые я даже не замечаю - всякие там .netrc, .authinfo, conkeror с сохраненными паролями и т.д. Жалко зашифровать своп не получается - я активно пользуюсь гибернацией, а то думаю если пользоваться саспендом - батарейка нетбука долго не проживет. Я стараюсь её не насиловать - беру с собой зарядник.

Linux умеет гибернацию на зашифрованный своп, это во-первых. Странно, почему не получается.

Во-вторых, в суспенде ноутбуки потребляют очень мало. Даже на дохлой батарейке мой нотбук может находиться в суспенде больше суток. Если вы носите с собой зарядник, проблем быть не должно вообще.

Я совсем не о том. Батарейка у меня не дохлая и тянет около 5-6 часов без особой нагрузки. Просто любая батарейка имеет определенное количество циклов заряда и разряда и это количество довольно небольшое, после чего у батарейки начинает довольно быстро падать емкость. Так вот саспенд увеличивает количество таких циклов, учитывая что усыпляю я его минимум два раза в день.

А по поводу гибернации на зашифрованный своп - я сейчас запустил ecryptfs-setup-swap, а он мне сказал что поломается hibernate. Так все-таки умеет или нет? Что для этого нужно, чтобы умел?

сам я, честно говоря, не использовал. Но, например, на https://wiki.archlinux.org/index.php/LUKS такой вариант описывается.

Ну, если батарейка для вас настолько дороже удобства работы, тогда конечно.

Кстати, забыл ещё отметить тут про git-encrypt: https://github.com/shadowhand/git-encrypt Фильтры для git. Не понравилось тем, что почему-то не заработал diff, хотя для него фильтр прописан. Ну и просто - как-то не по себе от такого неоттестированного решения.

Да я даже не знаю... просто на моем первом нетбук (один из первых aspire one) батарейка оказалась ваще говно и сдохла за пол года. Раз в пол года покупать батарейку конечно не хочется, поэтому я эту стараюсь не мучать. И ведь сразу как начнет падать емкость новую не купишь - будешь ждать хотябы 50%. А все это время придется жрать кактус от меньшего количества часов. Хотя батарейки конечно разные бывают - на aspire через пол года тянула 15 минут, пришлось заказать новую офигенной емкости (за 3к рублей, 10-15 часов работал бук, здоровенная такая балда) и продать его - ушел по цене нового нетбука. А на ноуте сейчас и 15-ти минут не тянет, но ему-то уже лет 6-7... Вы натолкнули меня на мысль - посмотрю, если батарейки для этого бука доступны для заказа, попробую саспендом пользоваться.

вспомнил ещё один момент - из саспенда у меня пару раз просыпался бук в рюкзаке. Давно было, но было. Возможно при тряске какая-то клавиша нажалась.

Спасибо всем за ответы, узнал про ecryptfs и duplicity, сейчас буду настраивать. Если у кого ещё есть что-то - выкладывайте, тема интересная. Сейчас посмотрю - если ecryptfs ещё и поверх ntfs умеет работать - duplicity не понадобится, сделаю на винте директорию для бэкапов под ecryptfs.

truecrypt хороша тем, что есть графический интерфейс для винды и можно чуть-ли не целый диск зашифровать.

других достоинств не знаю.

обалдеть, спасибо за линк, не нужно даже заморачиваться с гибернацией и шифрованием свопа, там описан третий вариант - отдельный своп-файл для гибернации, то что надо.

А зачем своп шифровать?

Потому что в свопе могут оказаться именно те данные, которые желательно сохранить от посторонних глаз.

А можно, как-нибудь, своп «смонтировать» для правомочного вытаскивания из него информации, интересно, что там полезного хранится.

Есть оценки замедления доступа к разделу из-за шифрования?

ecryptfs
в винде, free и openbsd