staging.inyokaproject.org

Hallo Forum,

Ich habe auf meinem NAS eine Partition mit 2 TB Daten, die ich als zweites Backup außer Haus verschlüsselt sichern möchte. (Das primäre Backup wird regelmäßig auf einen separaten Backuprechner mit rsnapshot versioniert gesichert und ist nicht Thema meiner Frage.)

Die Datenquelle ist ein NAS, von dem ich gerne den Datenbestand verschlüsselt in die Cloud sichern möchte. Derzeit gehe ich davon aus, dass ich ein Angebot von pCloud nutzen werde. Ich werde nicht per Kommandozeile die Daten raufsichern, sondern die Daten werden zuerst auf einen Linuxrechner gespiegelt und dabei verschlüsselt. Von hier aus werden die Daten in die Cloud raufgespiegelt. Sobald sich etwas auf dem NAS ändert und die Änderungen auf dem Linuxrechner gespiegelt sind, sollen diese Änderungen automatisch in die Cloud verschlüsselt synchronisiert werden.

Folgende Möglichkeiten habe ich mir überlegt:

1 - Cryptomator: Ich installiere auf dem Linuxrechner Cryptomator und richte einen verschlüsselten Tresor und ein virtuelles Laufwerk ein. Ein Skript spiegelt mit einer Mirroring-Software (z. B. Rsync) die einzelnen Ordner des NAS in das virtuelle Laufwerk. In der Cloudanwendung lege ich fest, dass der Inhalt des Tresors automatisch in die Cloud synchronisiert wird, wenn sich etwas im Tresor ändert.

2 - Restic: Ich erzeuge mit restic ein verschlüsseltes Backup der Daten im NAS auf dem Linuxrechner. Pro Hauptverzeichnis im NAS ein Verzeichnis auf dem Linuxrechner. In der Cloudanwendung lege ich fest, dass die Verzeichnisse mit den verschlüsselten Dateien automatisch in die Cloud synchronisiert werden, wenn sich etwas in ihnen ändert.

3 - So wie 2, aber mit GnuPG.

4 - So wie 2, aber mit Kopia.

BorgBackup scheide ich aus, ich kenne das Programm, es ist sehr gut, bei Multimedia-Dateien aber schnarchlangsam.

Wozu würdet ihr mir raten?

Hi, da du ohnehin einen linuxrechner dazwischen laufen hast würde ich gocryptfs bevorzugen. Hab das so bei mir auch im Einsatz bevor ich auf die Hetzner Storagebox snapshote. Kann man auch schön in fstab einbinden. Ich hab BackinTime benutzt zum snapshot. Angenommen mein NAS ist unter /mnt/NAS auf der linuxkiste eingebunden, könnte man ein

gocrypt -reverse -init /mnt/NAS
gocrypt -reverse /mnt/NAS /mnt/NAScrypt

und dieses NAScrypt Verzeichnis dann snapshoten. Eine Beschreibung wie man das in die fstab packt habe ich dort https://decatec.de/home-server/gocryptfs-verschluesselung-von-dateien-auf-einem-samba-cifs-share-am-beispiel-nextcloud-externer-speicher/ gefunden.

Ich habe gocryptfs ausprobiert, das ist ja tatsächlich recht einfach in der Handhabung. Hat gleich zu Beginn gut funktioniert. Eine Verständnisfrage: Wenn ich den Wikiartikel recht verstanden habe, benötige ich zum Entschlüsseln folgende Infos:

• die verschlüsselten Dateien

• die Konfigurationsdatei (ODER den Masterkey)

• die Datei gocryptfs.diriv

• das Passwort (ODER den Masterkey)

korrekt?

Siehst du es als Sicherheitsrisiko an, wenn auch die Datei gocryptfs.diriv in die Cloud hochgeladen wird?

Danke auch für den Link. Wie man das Verzeichnis mit den Klardaten schon beim Hochfahren einbindet, wäre die nächste Frage gewesen.

Hallo, carnap64 schrieb:

Siehst du es als Sicherheitsrisiko an, wenn auch die Datei gocryptfs.diriv in die Cloud hochgeladen wird?

https://github.com/rfjakob/gocryptfs/wiki/Best-Practices

Danke auch für den Link. Wie man das Verzeichnis mit den Klardaten schon beim Hochfahren einbindet, wäre die nächste Frage gewesen.

Bei Samba Freigaben von der NAS kann man systemd oder fstab nehmen. Hab als User die Variante mit systemctl --user und dem gnome-keyring als PW Speicher. Aber mit sshfs, da kein PW nötig ist. Ein kleines Skript beim login bindet mein verschlüsseltes Hetznerbox Verzeichnis ein und anschließend entschlüsselt

# $ cat .local/bin/boxmount.sh 
#!/bin/sh
systemctl --user start mnt-boxcry.mount
gocryptfs --extpass="secret-tool lookup cipher /mnt/boxcry" /mnt/boxcry /mnt/box
# $ cat .config/systemd/user/mnt-homeboxcry.mount 
[Unit]
Description=Mount storagebox boxcry with sshfs
After=network-online.target
Wants=network-online.target

[Install]
WantedBy=default.target

[Mount]
What=user@your-storagebox.de:/home/homeboxcry
Where=/mnt/homeboxcry
Type=fuse.sshfs
Options=_netdev,reconnect,ServerAliveInterval=30,ServerAliveCountMax=5,x-systemd.automount,uid=user,gid=user
TimeoutSec=60

Mit sshfs in der fstab die hetznerbox für borgbackups:

user-sub3@user-sub3.your-storagebox.de:/home /mnt/borgbox fuse.sshfs x-systemd.automount,x-systemd.requires=network-online.target,_netdev,transform_symlinks,port=23,identityfile=/home/user/.ssh/id_edborgbox,uid=root,gid=root 0 0

Das Skript checke ich leider nicht.

Angenommen:

• Ein Verzeichnis /media/backup_cloud/geheim enthält die verschlüsselten Daten.

• Ein weiteres Verzeichnis /media/backup_cloud/klartext dient als Mountpopint für die Anzeige der entschlüsselten Daten aus dem Verzeichnis geheim.

• Beim Hochfahren wird die Festplatte backup_cloud automatisch eingebunden.

Jetzt möchte ich in die fstab reinschreiben, dass das Verzeichnis klartext automatisch beim Systemstart gemountet wird. Wie mache ich das?

Das habe ich in der /etc/fstab versucht:

/media/backup_cloud/geheim /media/backup_cloud/klartext	fuse./usr/bin/gocryptfs rw,nofail,auto,x-systemd.idle-timeout=10,x-systemd.automount,allow_other,quiet,passfile=/root/.gocryptfs_pw 0 0

Es funktioniert nicht, weil es die Konfigurationsdatei nicht findet. Wo in der Zeile gebe ich die an?

Hast du die gocryptfs.diriv woanders liegen? Die sollte im /media/backup_cloud/geheim Ordner liegen. Kannst du von hand einbinden ohne fstab? Wie sind die Rechte im geheim Ordner für den User?

Die gocryptfs.diriv befindet sich in geheim. Manuell einbinden funktioniert. Die Rechte für den angemeldeten user sind: Darf alles :lesen, schreiben.

Ui, dann bin ich überfragt. Vielleicht daß root nicht das geheim Verzeichnis lesen darf. Ich hatte mal Probleme als ich unter /media/user/mount gemountet hatte. Ich mounte seitdem unter /mnt. Vielleicht hat ja noch jemand eine Idee?