https://www.opennet.ru/openforum/vsluhforumID10/5656.html Нужно создать шифрованный диск для бэкапа. (Никто не покушается на данные, но паранойя)) Во всех статьях пишут, что сначала требуется создать раздел, а после зашифровать его. Где-то встречал, что таблица разделов должна быть GPT. Но что мешает зашифровать весь диск сразу, минуя разбивку? Это работает, проверял, но какие подводные? Всем благодарен, с меня, как обычно.<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#12 Sat, 01 Mar 2025 14:19:15 GMT &gt; Нужно создать шифрованный диск для бэкапа.<br>&gt; Но что мешает зашифровать весь диск сразу, минуя разбивку? Это работает, <br>&gt; проверял, но какие подводные? Всем благодарен, с меня, как обычно.<br><br>Шифруя диск полностью вы лишаетесь дополнительной надежности которую дает файловая система.<br>Диск с багованным контроллером или битым сектором\ячейкой может записать 1 вместо 0, и вы об этом не узнаете или узнаете когда будет поздно.<br><br>В бэкапе важна надежность хранения.<br>zfs например сможет проверять четность\хеш блоков и писать данные с резервом на случай повреждений диска.<br><br>Диск шифруют полностью когда нужно скрыть что на нем что-то есть от не сильно заинтересованных но имеющих возможность вам нагадить людей.<br>На ваши данные не покушаются, значит надежность важней.<br><br>Делайте обычный контейнер LUKS без скрытия заголовков, и работайте с ним.<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#11 Wed, 20 Sep 2023 11:49:03 GMT Часто используют связку LUKS -&gt; LVM. Сначала шифруют физичский диск и уже его разбивают на логические разделы с помощью LVM.<br>GRUB поддерживает загрузку с /boot на LVM разделе, который в свою очередь размещён в разделе LUKS.<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#10 Mon, 18 Sep 2023 05:28:30 GMT Ссылка на пример полнодискового шифрования для ноута: https://www.opennet.ru/openforum/vsluhforumID3/131450.html#223<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#8 Tue, 12 Sep 2023 07:54:47 GMT &gt; Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?<br><br>В случае использования шифрования LUKS есть возможность установки нескольких паролей для разных людей.<br><br>&gt; Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.<br><br>В случае шифрованых ISO на DVD/BD дисках, делать надо несколько версий, зашифрованных для разных людей и раздать бекапы им для хранения. Как вариант, можно dd и LUKS раздел в файл записать и на ISO закатать.<br><br>Это для фирм хорошо подходит. Хотя большинство просит не шифровать, а просто хранит бекапы в сейфе. Не любят у нас шифрование.<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#7 Tue, 12 Sep 2023 03:47:38 GMT Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?<br><br>Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#6 Sat, 09 Sep 2023 12:57:18 GMT Бекапить на съёмный, шифрованный, жесткий диск, это хорошо.<br><br>Придерживаюсь мнения, что необходимо держать бекапы на DVD/BD (-R), лучше M-DISK.<br><br>Скрипт для бекапа, создает ISO для записи:<br>https://www.linux.org.ru/forum/admin/15041201?cid=15051206<br>https://www.linux.org.ru/forum/admin/15041201?cid=15051243<br>https://www.linux.org.ru/forum/admin/15041201?cid=15052218<br><br>Можно добавить упаковку и шифрование перед созданием ISO.<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#5 Sat, 09 Sep 2023 06:28:20 GMT Если для бэкапа используется выделенный диск ЦЕЛИКОМ, то разбивать его на разделы не требуется, можно шифровать диск целиком без разбивки.<br> https://www.opennet.ru/openforum/vsluhforumID10/5656.html#4 Sun, 03 Sep 2023 13:17:33 GMT &gt; монтирую руками и только я<br><br>Я по-началу тоже так предполагал. Но бэкапы - такая штука, которую очень желательно делать часто, а значит это должно быть легко и удобно. Иначе быстро надоедает, появляются задержки между бэкапами и риск потери свежих данных растет. К тому же, риск раскрыть пароль при вводе с клавиатуры обычным пользователем значительно выше, чем при монтировании ключом, который видит только суперпользователь с также шифрованной ФС с ОС. К тому же, если для доступа к диску используется несколько устройств с разными ключами, можно легко сменить/удалить ключ только для скомпрометированного устройства.<br>Ну и, наконец, возможность перешифровать диск с новыми настройками налету. Например, при устаревании (вычислительной сложности) или компрометации алгоритмов шифрования. Или просто под новый процессор, который имеет инструкции/модуль для более быстрой работы с каким-то конкретным шифром.<br>Короче, заголовки LUKS - это очень гибко и удобно.<br><br>&gt; особой разницы нет<br><br>Есть ещё похожий, но более гибкий в https://www.opennet.ru/openforum/vsluhforumID10/5656.html#3 Sun, 03 Sep 2023 10:40:01 GMT &gt; Если правильно понял вводные, то недостатки такие: <br>&gt; * нужно помнить фиксированные настройки шифрования.<br>&gt; * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без <br>&gt; разницы.<br>&gt; * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно <br>&gt; иметь несколько разных ключей: для автоматического монтирования службами целевых систем <br>&gt; (на их ФС) и для ручного расшифрования (в голове); <br>&gt; А в чем проблема сделать раздел на весь бэкап-диск, а потом его <br>&gt; весь зашифровать?<br><br>Спасибо за ответ и, как я понял особой разницы нет, т.к. автоматического монтирования не предвидится и монтирую руками и только я.<br>