জিপিজি ব্যবহার করে এনক্রিপ্ট করা অফসাইট ব্যাকআপ প্রাইভেট কী দিয়ে কখনই ব্যাকআপ সার্ভারে নেই?

11

আমার একটি ব্যাকআপ সার্ভার রয়েছে, এটি ব্যাক আপ করার জন্য ডিরেক্টরি ট্রিগুলির xzসংকুচিত tarসংরক্ষণাগার তৈরি করে। এই টાર সংরক্ষণাগারগুলি বিশাল (একাধিক টিবি) পেতে পারে, splitটুকরো টুকরো টুকরো টুকরো টুকরো (2.5TB) হয় এবং প্রতিটি টুকরা একটি এলটিও -6 টেপকে লেখা হয়, এবং টেপগুলি অফসাইটে যায়।

এখন আমি এনক্রিপশন যুক্ত করতে চাই। আমি বিভক্ত হওয়ার আগে পাবলিক-প্রাইভেট কী এনক্রিপশন ব্যবহার করে এবং এক বা একাধিক প্রাপক (অ্যাডমিন পাবলিক কী) দিয়ে জিপিজি টার সংরক্ষণাগারটি এনক্রিপ্ট করতে পারি।

তবে, পুনরুদ্ধারের ক্ষেত্রে, কমপক্ষে একজন প্রশাসকের নিজের ব্যক্তিগত কীটি ব্যাকআপ সার্ভারে রেখে দেওয়া দরকার, যেহেতু ফাইলগুলি অন্য কোথাও আনপ্যাক করার মতো বিশাল।

জিপিজি হুডের অধীনে একটি হাইব্রিড এনক্রিপশন স্কিম ব্যবহার করে, একটি সেশন কী সহ এইএসের মতো একটি প্রতিসম সাইফার সহ এবং কেবলমাত্র সেই সেশন কীটি প্রাপকদের জন্য সরকারী-বেসরকারী কী এনক্রিপ্ট করা হয়।

ব্যাকআপ সার্ভারে প্রাইভেট কীটি না রেখে পুনরায় পুনরুদ্ধার করার জন্য কোনও প্রশাসককে ফাইল ডিক্রিপ্ট করার জন্য সেশন কী সরবরাহ করার কোনও উপায় আছে কি ?

আমি অবশ্যই চাকা পুনরুদ্ধার করতে পারে:

  • ব্যাক আপ করতে প্রতিটি ফাইল ব্যাকআপ সার্ভারে এলোমেলো সেশন কী তৈরি করুন
  • ফাইলটি এনক্রিপ্ট করতে GPG প্রতিসাম্য এনক্রিপশন ব্যবহার করুন
  • প্রতিটি প্রাপকের জন্য সেশন কী এনক্রিপ্ট করতে GPG অসমমিতিক এনক্রিপশন ব্যবহার করুন

তবে উপরে কি অর্জনের কোনও "স্ট্যান্ডার্ড" বা বিল্টিন বা সেরা অনুশীলনের উপায় আছে?

backup  gpg 
oberstet
সূত্র

উত্তর:

18

এটি অবশ্যই বিকল্প --show-session-keyএবং --override-session-keyবিকল্পগুলির দ্বারা সম্ভব ।

প্রথমে আপনার এনক্রিপ্ট করা ফাইলের শুরু দরকার। এখান থেকে এনক্রিপ্ট করা সেশন কী সংরক্ষণ করা হয়।

root@qwerty:~/gpg# head -c 1024k bigfile.gpg > head.gpg

তারপরে এটি আপনার ওয়ার্কস্টেশনে অনুলিপি করুন এবং সেশন কীটি পুনরুদ্ধার করুন

PS C:\Users\redacted\Downloads> gpg --show-session-key .\head.gpg
gpg: encrypted with 2048-bit RSA key, ID DC21D645, created 2016-02-01
  "admin <admin@domain.tld>"
gpg: session key: '9:926EC16DF1248A1C4401F5AD5D86C63C1BD4BF351ECEFB121C57EC209DE3933D'

এখন আপনি আপনার সেশন কী ব্যবহার করে ফাইলটি ডিক্রিপ্ট করতে পারবেন

root@qwerty:~/gpg# gpg -d -o bigfile --override-session-key 9:926EC16DF1248A1C4401F5AD5D86C63C1BD4BF351ECEFB121C57EC209DE3933D bigfile.gpg
gpg: encrypted with 2048-bit RSA key, ID DC21D645, created 2016-02-01
  "admin <admin@domain.tld>"
IsAGuest
সূত্র
সমস্যাটির এটি একটি দুর্দান্ত সমাধান
লার্স
ধন্যবাদ !! এর সাথে দুর্দান্ত কৌশল head। পদ্ধতির আমার আসল চুলকানি সমাধান করে।
ওভারস্টেট
4

দেখে মনে হচ্ছে আপনার বেশিরভাগ প্রশ্নের উত্তর দেওয়া হয়েছে, তবে, যদি আপনি প্রশাসক দল তাদের স্থানীয় নিয়ন্ত্রণের বাইরে থাকা ব্যক্তিগত কীগুলি সম্পর্কে সতর্ক হন তবে আপনি sshfsকোনও এসএস সেশনে রিমোট ব্যাকআপগুলি মাউন্ট করার কথা বিবেচনা করতে পারেন ।

প্রতিটি রিমোট প্রশাসকের সিস্টেমে অ্যাপের মাধ্যমে ইনস্টল করুন

sudo apt-get install sshfs

ধরে নিচ্ছেন প্রশাসকদের ssh কনফিগারেশনটি নীচের মতো দেখাচ্ছে

# configuration for ssh login to remote server
Host Remote
    Hostname Remote.web.domain
    User admin
    IdentityFile ~/.ssh/private.key

তারপরে আপনার প্রশাসকরা মাউন্ট করার জন্য নীচের মতো কিছু ব্যবহার করতে পারেন

# make a mount point
mkdir -p /mnt/remote
# mount remote directory to local file system
sshfs Remote:/path/to/encrypted/dir /mnt/remote

পরিদর্শন শেষে আনমাউন্ট করতে দূরবর্তী প্রশাসক নিম্নলিখিত ব্যবহার করতে পারেন

fusermount -u /mnt/remote

Sshfs ব্যবহারের মিষ্টি বিটটি হ'ল রিমোট সার্ভারে কেবল GnuPG এবং ssh এর জন্য সর্বজনীন কীগুলি প্রয়োজন, সম্পর্কিত ব্যক্তিগত কীগুলি নিজস্ব মালিকানাধীন সিস্টেমে থাকে। দ্বিতীয় দুর্দান্ত কিছু হ'ল যতক্ষণ না পঠিত বা অ্যাক্সেস না করা অবধি ফাইল সম্পর্কিত তথ্য তার সম্পর্কিত ফাইল সিস্টেমে থাকে।

আপনি যদি এখনও টুলস লগ বা ডিরেক্টরি স্বতঃ এনক্রিপশন সহজতর খুঁজছেন আগে ধারণা টুল আমি ধাক্কা থাকেন অধ্যাপক চেক করতে চান পারে GitHub (বিশেষভাবে দৃশ্যপট চার জন্য লিখিত sshsfব্যবহার) যা একটু স্বনির্ধারণ সঙ্গে সুখে প্রায় কোনো এনক্রিপ্ট করবে GnuPG এর মাধ্যমে ডেটা। তবে সতর্ক হোন যে এটি পরীক্ষামূলক এবং এর কয়েকটি বৈশিষ্ট্য অপব্যবহার করা হলে ডেটা দুর্নীতির কারণ হতে পারে। উত্স কোডটি ~ 1600 ~ লাইনগুলি কম তবে একটি সাপ্তাহিক ছুটির চেয়ে কম সময়ে নিরীক্ষণ করা খুব সম্ভব।

ক্রুট ব্যবহারকারীদের কাছে কেবল এনক্রিপ্ট করা ডিরেক্টরিতে অ্যাক্সেসের অনুমতি দিতে এবং এই ফ্যাশনে ব্যবহৃত অ্যাডমিন কীগুলির জন্য ইন্টারেক্টিভ শেল অক্ষম করার জন্য দূরবর্তী সার্ভারের এসএসএস কনফিগারেশন স্থাপন করে অতিরিক্ত সুরক্ষা দেওয়া যেতে পারে।

S0AndS0
সূত্র
2

আপনি যদি চান যে গোপন কীটি হার্ড ডিস্কগুলি থেকে দূরে রাখা থাকে, আপনি একটি র‌্যামডিস্ক তৈরি করতে পারেন (সেগুলি মনে রাখবেন?) এবং প্রয়োজন অনুসারে আপনার সুরক্ষিত নয়-সার্ভারের অবস্থান থেকে গোপন কীগুলি লোড করতে পারেন। এটি ডিক্রিপ্ট করার জন্য ব্যবহার করুন এবং যখন এটি / dev / এলোমেলোভাবে ওভাররাইট করে। রহস্যটি যে কোনওভাবে জিপিজি ব্যবহার করতে র‌্যামে যেতে হবে, তবে কেন দু'বার নয়?

আপনি যদি কোনও গোপন কীটি সার্ভারে, এমনকি র্যামে রাখতে না পারেন তবে আপনার প্রযুক্তিগত অসম্ভবতা রয়েছে। যে কোনও কিছু ডিক্রিপ্ট করার জন্য জিপিজির অবশ্যই কোথাও গোপন কী থাকতে হবে।

র‌্যামডিস্ক তথ্য: /unix/66329/creating-a-ram-disk-on-linux

স্টিভ বন্ডস
সূত্র
2
জিপিজি প্রতি বার্তা প্রতিসামিত গোপন ("সেশন কী") ব্যবহার করে যা প্রতিটি বার্তাকে এনক্রিপ্ট করা আলাদা। প্রযুক্তিগতভাবে এটি মেশিনে থাকা উচিত যা সংশ্লিষ্ট বার্তাটি ডিক্রিপ্ট করে। আমি জিপিজি (অসম্পূর্ণ) ব্যক্তিগত কী অফলাইনে রাখতে চাই। পরেরটি জিপিজি দ্বারা প্রতিসম সেশন কীটি এনক্রিপ্ট করতে ব্যবহৃত হয়। তাই আমি এমন একটি স্কিমের পরে আছি যা এই দিকগুলি ব্যবহার করে ...
oberstet
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.