Cryptage de la sauvegarde hors site à l'aide de GPG avec key privée jamais sur le server de sauvegarde?

J'ai un server de sauvegarde, qui crée xz compressé tar archives d'trees de directorys à sauvegarder. Ces archives tar peuvent être énormes (TB multiples), sont split en morceaux (2,5 To) et chaque pièce est écrite sur une cassette LTO-6 et les bandes sont hors site.

Maintenant, je veux append un chiffrement. Je peux GPG chiffrer l'archive tar avant de split, en utilisant le encryption des keys public-privé et avec un ou plusieurs destinataires (keys administratives publiques).

Cependant, en cas de récupération, au less un administrateur doit mettre sa key privée sur le server de sauvegarde, car les files sont trop énormes pour être décompressés ailleurs.

GPG utilise un schéma de encryption hybride sous le capot, avec un chiffrement symésortingque comme AES avec une key de session, et seule cette key de session reçoit une key public-privée chiffrée pour les destinataires.

Existe-t-il un moyen de laisser un administrateur fournir la key de session pour déchiffrer le file à récupérer sans mettre la key privée sur le server de sauvegarde ?


Je pourrais réinventer la roue bien sûr:

  • créer une key de session random sur le server de sauvegarde pour chaque file à sauvegarder
  • utiliser le encryption symésortingque GPG pour chiffrer le file
  • utiliser le encryption asymésortingque GPG pour chiffrer la key de session pour chaque destinataire

Mais y a-t-il une manière «standard» ou embeddede ou la meilleure façon d'atteindre ce qui précède?

3 Solutions collect form web for “Cryptage de la sauvegarde hors site à l'aide de GPG avec key privée jamais sur le server de sauvegarde?”

Ceci est définitivement possible avec les --show-session-key et --override-session-key options.

D'abord, vous avez besoin du début de votre file chiffré. C'est là que la key de session chiffrée est stockée.

root@qwerty:~/gpg# head -c 1024k bigfile.gpg > head.gpg

Ensuite, copyz-le sur votre post de travail et récupérez la key de session

 PS C:\Users\redacted\Downloads> gpg --show-session-key .\head.gpg gpg: encrypted with 2048-bit RSA key, ID DC21D645, created 2016-02-01 "admin <admin@domain.tld>" gpg: session key: '9:926EC16DF1248A1C4401F5AD5D86C63C1BD4BF351ECEFB121C57EC209DE3933D' 

Vous pouvez maintenant décrypter le file à l'aide de votre key de session

 root@qwerty:~/gpg# gpg -d -o bigfile --override-session-key 9:926EC16DF1248A1C4401F5AD5D86C63C1BD4BF351ECEFB121C57EC209DE3933D bigfile.gpg gpg: encrypted with 2048-bit RSA key, ID DC21D645, created 2016-02-01 "admin <admin@domain.tld>" 

Il semble que la plupart de vos questions aient été répondues. Cependant, si vous êtes une équipe d'administrateur, vous vous méfiez-vous des keys privées qui se retrouvent hors de leur contrôle local, vous pourriez considérer que sshfs monte les sauvegardes à distance sur une session ssh.

Installer via apt sur le système de chaque administrateur distant

 sudo apt-get install sshfs 

En supposant que la configuration ssh de admins ait quelque chose comme ci-dessous

 # configuration for ssh login to remote server Host Remote Hostname Remote.web.domain User admin IdentityFile ~/.ssh/private.key 

Ensuite, vos administrateurs peuvent utiliser quelque chose comme ci-dessous pour le assembly

 # make a mount point mkdir -p /mnt/remote # mount remote directory to local file system sshfs Remote:/path/to/encrypted/dir /mnt/remote 

Pour démonter après inspection, l'administrateur distant peut utiliser les éléments suivants

 fusermount -u /mnt/remote 

Le bit délicat de l'utilisation de sshfs est que seules les keys publiques pour GnuPG et ssh sont nécessaires sur le server distant, les keys privées connexes restnt sur les systèmes qui le sont. Le deuxième avantage est que jusqu'à ce que la lecture ou l'access à la plupart des informations sur le file rest sur son système de files connexe.

Si vous searchz toujours des outils pour faciliter le encryption automatique des journaux ou des directorys, vous voudrez peut-être vérifier l'outil de prof de concept que j'ai poussé à GitHub (spécifiquement Scenario Four écrit pour l'utilisation de sshsf ) qui, avec une petite personnalisation, va chiffrer presque toutes datatables via GnuPG. Mais soyez averti qu'il est expérimental et certaines de ses fonctionnalités peuvent causer la corruption de données si elles sont mal utilisées. Le code source est inférieur à ~ 1600 ~ lignes, donc il est très possible d'auditer en less d'un week-end.

Une security supplémentaire peut être obtenue en configurant la configuration ssh du server distant pour chrooter les users pour permettre uniquement l'access au directory chiffré et désactiver le shell interactif pour les keys d'administration utilisées de cette façon.

Si vous voulez que la key secrète soit éteinte des disques durs, vous pourriez créer un disque ramdisk (n'oubliez pas que ces derniers) et charger les keys secrètes de votre location sécurisé non sur le server, au besoin. Utilisez-le pour déchiffrer et, après avoir terminé, écrasez-le avec / dev / random. Le secret doit être mis en RAM pour être utilisé par GPG de toute façon, alors pourquoi pas deux fois?

Si vous ne pouvez pas laisser une key secrète jamais sur le server, même dans la RAM, vous avez une impossibilité technique. GPG doit avoir la key secrète quelque part pour décrypter n'importe quoi.

Ramdisk info: https://unix.stackexchange.com/questions/66329/creating-a-ram-disk-on-linux

  • Comment puis-je récupérer rapidement les files DFS perdus sur AWS?
  • Comment sauvegarder un linode 360 ​​VPS?
  • ubuntu - annuaire mysql de sauvegarde
  • Symantec BE: Comment le stream de données des sauvegardes / restauration dans les pools de stockage?
  • Séparer ce qui est migré et restauré avec USMT
  • Sauvegarde des bases de données MySQL MyISAM en copiant les dossiers physiques
  • Comment split la database Exchange en plusieurs files (pour des raisons de sauvegarde)?
  • Intégrité de sauvegarde du server Windows
  • Rdiff-backup restaurant les directorys sans sous-directorys
  • créer une image de Linux actuellement installée avec ssh?
  • Les meilleures pratiques pour maintenir vos ordinateurs sauvegardés efficacement?
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.