Backup eines verschlüsselten Systems

[ottonormal]

Hallo,

Vielleicht hat ja der eine oder andere dieses Thema verfolgt:

http://debianforum.de/forum/viewtopic.p ... b#p1024184

Also ich habe ein vollverschlüsseltes Linux-Mint installiert und eingerichtet. Das hat auch ohne Probleme funktioniert
und läuft so wie gewünscht.
Nun habe ich die Gewohnheit von jedem System regelmäßig Backups für evtl. auftretende Notfälle zu erstellen.
Das mache ich meistens mit "Redo Backup and Recovery", womit ich immer gute Erfahrungen gemacht habe.
Das habe ich also auch bei diesem System so gemacht. Mir war von Anfang an schon klar, dass das bei einem
verschlüsselten System etwas anders ist, RedoBackup kann die Partition ja nicht lesen.
So war es dann auch, das Backup wurde erstellt und brauchte dafür erheblich mehr Zeit als sonst.
Es handelt sich dabei um eine Partition von 30 GB Größe wofür fast eine halbe Stunde notwendig war.
Bei einer unverschlüsselten etwa identischen Partition dauert das nur wenige Minuten.
Immerhin, das Backup lief ohne Fehlermeldungen durch und hatte dann eine Größe von ca. 10 GB.
Beim unverschlüsselten Vergleich wären das vielleicht ca. 3 GB.

Jetzt ist meine Frage ob das alles normal und in Ordnung so ist. Ich möchte es jetzt nicht einfach testen, indem
ich das Backup einfach wieder zurückspiele mit dem Risiko, dass dann alles geschrottet wird.

Hat jemand Erfahrung mit solchen Backups?

Gruß, ottonormal

[uname]

Anstatt ganze Partitionen zu sichern, erscheint es sinnvoller z.B. mit rsync im laufenden System nur Daten zu sichern. Bei Problemen Neuinstallation und nur Daten zurücksichern.

[NAB]

Neee, eigentlich ist das so nicht in Ordnung. Eine verschlüsselte Partition sollte sich nicht von Zufallszahlen unterscheiden und sich nicht so einfach von 30 auf 10 GB komprimieren lassen.

[ottonormal]

In der Virtualbox hat es funktioniert, gerade getestet.
Da hatte ich die Partitionen des realen Rechners nachgebildet und das die Tage ja schon ausgiebigst getestet.
Ich habe also von der "/boot" und "/" mit RedoBackup ein Backup erstellt und auf der virtuellen Datenpartition
gespeichert.
Dann bin ich zurück ins verschlüsselte System und habe dort etliches verändert. Also, div. Dateien
gelöscht, Programme deinstalliert, andere neu installiert usw.
Dann wieder zurück und den alten Zustand wieder hergestellt durch zurückspielen des Backups.
Nach Fertigstellung und Neustart war alles wieder so wie es vorher war.
Also funktioniert es.

Hat auch ziemlich lange gedauert, aber ich stelle mir das so vor, dass bei einem Backup von einer
unverschlüsselten Partition mit bspw. 5 GB Belegung nur die Daten ausgelesen und komprimiert
werden, so dass dabei eine Backupgröße von ca. 50%, also 2,5 GB Größe entsteht.
Bei einer verschlüsselten Partition dagegen muss die gesamte Größe komprimiert und gespeichert
werden.

Was ich nun nicht weiß ist, ob man das so 1 zu 1 auf das reale Backup übertragen kann.

[schwedenmann]

Hallo

Willst du jetzt die Backups auch verschlüsselt haben ?

Wenn nicht dann wie @uname sagte, rsync im laufenden Betrieb, oder du bootest von einem Zweitlinux, entscvhlüselst das luks-Laufwerk, mountet die z.B. / und dann läßzt du irgendein
backuptool auf die rootpartiton los (bei mir dar und rsync für /home und andere Partitonen)

Dann sind zwr die backups unverschlüsselt, aber du kannst das System sehr schnell wieder aufsetzen.

mfg
schwedenmann

[ottonormal]

Willst du jetzt die Backups auch verschlüsselt haben ?

Die Backups brauchen natürlich nicht verschlüsselt zu sein, die würden ja im Ernstfall auf einer externen Platte liegen.

[ottonormal]

Mit rsync bzw. Luckybackup mache ich Sicherungen meiner Home-Ordner. Meine Erfahrungen damit sind eher
etwas zwiespältig.
Wenn ich ein "richtiges" Backup erstelle von einer ganzen Partition, habe ich hinterher, wenn ich es denn mal
brauche immer zu 100% den Originalzustand wieder.
Natürlich immer vorausgesetzt es kommt nichts unerwartet dazwischen, was ja immer möglich ist.
Bei rsync-Luckybackup habe ich öfters schon Fehlermeldungen erhalten, die natürlich was den Home-Ordner
betrifft nicht so tragisch sind.

[schwedenmann]

Hallo

Bei rsync-Luckybackup habe ich öfters schon Fehlermeldungen erhalten, die natürlich was den Home-Ordner
betrifft nicht so tragisch sind.

welcher Art denn, luckybackup log ja ordentlich.

Also ich mache ien backup von /home und andern datenpartitionen (alle Verschlüsselt) im laufenden Betrieb per luckyabckup (alle Programme werden geschlossen, nat. auch der FF) und dan wird gesichert. Da hab eich für /home noch keine Fehlermeldungen bekommen.

/ sichere ich per dar von einem Zweitlinux, dazu wird das verschlüsselte device entschlüselt, die LVM aktiviert und gemountet und dann ein komprimiertes Archiv erstellt.


mfg
schwedenmann

[ottonormal]

welcher Art denn, luckybackup log ja ordentlich.

Das kann ich nicht genau sagen, das ganze geht ja ziemlich fix, am Schluss kommt dann eben eine Meldung
"Es wurden 2 Fehler gefunden" oder so ähnlich.
Das ist aber auch kein Problem für mich, ich mache diese Home-Sicherungen mit Luckybackup nur um z.B. bei
einer Neuinstallation meine Einstellungen zu haben oder wenn ich versehentlich mal was gelöscht habe.

Eine komplette Systemsicherung mit Luckybackup würde ich jedenfalls nicht machen, was aber sicher
nur an meiner eigenen Unfähigkeit liegt.
Wenn ich mir Eure Beschreibungen durchlese erscheint mir das auch alles zu kompliziert für mich zu sein.

[NAB]

Bei einer verschlüsselten Partition dagegen muss die gesamte Größe komprimiert und gespeichert werden.

Ja, eben ... und die Komprimierbarkeit von verschlüsselten Daten liegt in der Nähe von Null.

Vermutlich hast du die (virtuelle) Festplatte vorher nicht mit Zufallszahlen vollgeschrieben, wodurch ein "Angreifer" nun sehr genau sehen könnte, wo Daten gespeichert sind, und wo die Festplatte voller Nullen ist. Genau diese Nullen macht sich dann vermutlich auch dein Backup-Programm zunutze, um das Image immerhin noch auf 10GB zu komprimieren.

Da dein Kumpel vermutlich nicht den Geheimdienst an den Hacken hat, wär das nicht so schlimm mit den Nullen, aber bei zunehmender Benutzung des Systems würde die Komprimierbarkeit immer weiter gegen Null gehen.

Wenn du bei deiner Strategie bleibst, dann wirst du irgendwann eine Backup-Datei in voller Partitionsgröße haben. Die Alternative wäre dann, die entschlüsselte Partition zu backupen, oder rsync auf die entschlüsselten Dateien.

[ottonormal]

Wenn du bei deiner Strategie bleibst, dann wirst du irgendwann eine Backup-Datei in voller Partitionsgröße haben. Die Alternative wäre dann, die entschlüsselte Partition zu backupen, oder rsync auf die entschlüsselten Dateien.

Es leuchtet mir ein was Du schreibst.
Wenn dann mal ein Backup wirklich die volle Größe hat von z.B. 30 GB dann könnte ich das in kauf nehmen.
Ich habe sowieso für jeden Rechner eine eigene ext. Festplatte für Backups und andere Daten.
Für jedes System habe ich immer 3 bis 4 Backups über die ich auch genau Buch führe. Kommt dann ein neues
Backup hinzu, wird das älteste gelöscht. So käme ich in diesem Beispiel auf eine Backupmenge von ca. 100 GB.
Damit kann ich gut leben und es bietet mir eine ausreichende Sicherheit.
Mit Sicherheit meine ich die Sicherheit vor Datenverlust nicht vor den Schlapphüten.
Für die vergrabe ich die Festplatten nachts im Garten wobei ich zusätzlich noch eine gehärtete Aluhutversion trage.

[pferdefreund]

Aber bitte vor dem Vergraben wasserdicht einpacken - sonst korrodieren die Steckkontakte, besonders, wenn die ortsansässige Katze da mal muß....

[uname]

Mein Vorschlag mit "rsync" hat im übrigen noch weitere Gründe. Betrachtet man rein menschliche Fehler mag dein Ansatz korrekt sein. Bedenke aber, dass minimale Probleme in der Datenstruktur der Festplatte oder auch des Backups (oder bei Gleichheit bei beiden) zu einem Totalverlust führen kann. Treten z.B. bitweise Fehler auf, sind z.B. Dateien aus einer tar-Datei einfacher wiederherzustellen als aus einer tar.gz-Datei durch die fehlerhafte Komprimierung bzw. Prüfsummen. Ähnlich wenn nicht sogar extremer wird es bei unverschlüsselten zu verschlüsselten Dateisystemen sein. Bekommst du Probleme das Backup aus irgendwelchen Gründen zu entschlüsseln hast du einen Totalverlust aller Daten.