对Linux上使用LUKS加密的部分进行备份

我们中有些人出于安全原因,在家里或者VPS上通过Linux统一密钥配置(LUKS)为硬盘驱动器加密,而这些驱动器的容量很快会增长到数十或数百GB。因此,虽然我们享受着LUKS设备带来的安全感,但是我们也该开始考虑一个可能的远程备份方案了。对于安全的非现场备份,我们将需要能在LUKS加密的设备上以块级别操作的东西。因此,最后我们发现这么个状况,我们每次都需要传输想要做备份的整个LUKS设备(比如说200GB大)。很明显,这是不可行的。我们该怎么来处理这个问题呢?

一个解决方案: Bdsync

这时,一个卓越的开源工具来拯救我们了,它叫Bdsync(多亏了Rolf Fokkens)。顾名思义,Bdsync可以通过网络同步“块设备”。对于快速同步,Bdsync会生成并对比本地/远程块设备的块的MD5校验和,只同步差异部分。rsync在文件系统级别可以做的,Bdsync可以在块设备级别完成。很自然,对于LUKS加密的设备它也能工作得很好。相当地灵巧!

使用Bdsync,首次备份将拷贝整个LUKS块设备到远程主机,因而会花费大量时间来完成。然而,在初始备份后,如果我们在LUKS设备新建一些文件,再次备份就会很快完成,因为我们只需拷贝修改过的块。经典的增量备份在起作用了!

安装Bdsync到Linux

Bdsync并不包含在Linux发行版的标准仓库中,因而你需要从源代码来构建它。使用以下针对特定版本的指令来安装Bdsync及其手册页到你的系统中。

Debian,Ubuntu或Linux Mint

代码如下:

$ sudo apt-get install git gcc libssl-dev

$ git clone https://github.com/TargetHolding/bdsync.git

$ cd bdsync

$ make

$ sudo cp bdsync /usr/local/sbin

$ sudo mkdir -p /usr/local/man/man1

$ sudo sh -c 'gzip -c bdsync.1 > /usr/local/man/man1/bdsync.1.gz'

Fedora或CentOS/RHEL

代码如下:

$ sudo yum install git gcc openssl-devel

$ git clone https://github.com/TargetHolding/bdsync.git

$ cd bdsync

$ make

$ sudo cp bdsync /usr/local/sbin

$ sudo mkdir -p /usr/local/man/man1

$ sudo sh -c 'gzip -c bdsync.1 > /usr/local/man/man1/bdsync.1.gz'

对LUKS加密的设备实施非现场增量备份

我假定你已经准备好了一个LUKS加密的块设备作为备份源(如,/dev/LOCDEV)。同时,我假定你也有一台远程主机,用以作为源设备的备份点(如,/dev/REMDEV)。

你需要在两台系统上具有root帐号访问权限,并且设置从本地访问远程的无密码SSH访问。最后,你需要安装Bdsync到两台主机上。

要在本地主机上初始化一个远程备份进程,我们需要以root执行以下命令:

代码如下:

# bdsync "ssh root@remote_host bdsync --server" /dev/LOCDEV /dev/REMDEV | gzip > /some_local_path/DEV.bdsync.gz

这里需要进行一些说明。Bdsync客户端将以root打开一个到远程主机的SSH连接,并执行带有--server选项的Bdsync客户端。明确说明一下,/dev/LOCDEV是我们的本地主机上的源LUKS块设备,而/dev/REMDEV是远程主机上的目标块设备。它们可以是/dev/sda(作为整个磁盘),或者/dev/sda2(作为单个分区)。本地Bdsync客户端的输出结果随后被管道输送到gzip,用来在本地主机中创建DEV.bdsync.gz(所谓的二进制补丁文件)。

你第一次运行上面的命令的时候,它会花费很长一段时间,这取决于你的互联网/局域网速度,以及/dev/LOCDEV的大校记住,你必须有两个大小相同的块设备(/dev/LOCDEV和/dev/REMDEV)。

下一步是要将补丁文件从本地主机拷贝到远程主机。一种方式是使用scp:

代码如下:

# scp /some_local_path/DEV.bdsync.gz root@remote_host:/remote_path

最后一步,是要在远程主机上执行以下命令,它们会将补丁文件应用到/dev/REMDEV:

代码如下:

# gzip -d < /remote_path/DEV.bdsync.gz | bdsync --patch=/dev/DSTDEV

我推荐在使用真实数据部署Bdsync前,使用一些(没有任何重要数据)小分区来做这些测试。在你完全弄懂整个设置是如何工作之后,你可以开始备份真实数据。

尾声

小结之,我们演示了如何使用Bdsync来为LUKS设备实施增量备份。和rsync一样,每次备份只有一小部分数据,而不是整个LUKS设备,需要被推送到非现场备份点,这样会节省带宽和备份时间。剩下来,需要通过SSH或SCP来保证所有数据传输的安全,事实上设备自身是由LUKS加密的。也可以通过使用可以运行bdsync的专用用户(而非root)来改进该配置。我们也可以将bdsync用于任何块设备,如LVM卷或RAID磁盘,也可以很轻易地设置Bdsync备份本地磁盘到USB驱动器上。如你所见,它有着无限可能性!

(0)

相关推荐

  • 如何在Linux上检查SSH的版本

    大家都知道SSH存在1和2两个版本(SSH1和SSH2).这两者之间有什么不同?还有我该怎么在Linux上检查SSH协议的版本?安全Shell(SSH)通过加密的安全通信通道来远程登录或者远程执行命令 ...

  • 在Linux上使用Steam提高游戏性能的6个提示

    Steam的Linux终于出来了.无论您是一名从未关心过游戏性能的老用户,还是新玩家将您的脚趾浸入Linux游戏中,我们将帮助您尽可能顺利地运行游戏. 各种各样的事情可能会影响性能,从安装的图形驱动程 ...

  • Linux上架设支持JSP+PHP的Web服务器

    近年来Linux在服务器市场占有比例日渐攀升,除了缘于Linux的免费和安全性之外,还因为Linux上的应用服务日益丰富。大部分常见的服务都在Linux上有了较好的解决方案。而对于Intenet上应用 ...

  • 在linux 上使用QQ聊天程序

    在Red Hat 9.0上配置QQ的经验。 选择QQ软件 腾迅公司并没有推出专门应用于Linux下的QQ软件,但是已经有很多自由软件或插件支持在Linux下使用QQ。这些软件都可以在Internet上 ...

  • Red Hat Linux上使用BIND建立DNS服务器

    尽管Linux在桌面计算的世界中还没有取得引人注目的进展,但作为网络服务器它已经小有名气了。由于其出色的可靠性,我们可以放心地在Linux上运行当今Internet时代所必需的各种重要服务程序。由此, ...

  • 在虚拟机Linux上部署DB2pureScale实践过程

    DB2 pureScale 的基本信息 DB2 pureScale 是一种新的 DB2 可选特性,它允许您通过“双机(active-active)”配置将数据库扩展到一组服务器上,以便交付高水平的可用 ...

  • Linux 上让一段时间不活动的用户自动登出方法介绍

    让我们想象这么一个场景.你有一台服务器经常被网络中各系统的很多个用户访问.有可能出现某些用户忘记登出会话让会话保持会话处于连接状态.我们都知道留下一个处于连接状态的用户会话是一件多么危险的事情.有些用 ...

  • Linux上安装使用FTP服务器ProFTPD的教程

    Linux VPS用户一般都通过SFTP/SCP协议连接OpenSSH Server进行文件传输,但有时候,你希望某些用户只能上传文件到网站目录,而不能够登录系统执行命令以及访问其他目录,这时用FTP ...

  • Linux上的一款EPUB阅读软件

    如果说用平板电脑看书尚属主流的话,那么在电脑上读书就非常少见了.专注阅读16世纪的书是非常困难的了,没人希望后台蹦出QQ聊天窗口.但是如果你非要在电脑上打开电子书的话,那么你需要一个电子书阅读软件.大 ...