[linux-l] S: Empfehlung für verschluesseltes Setup

Hauke Laging mailinglisten at hauke-laging.de
So Sep 27 16:21:48 CEST 2020 

Moin,

Am 26.09.20 um 23:35 schrieb Boris Kirkorowicz via linux-l:

> Da der Server nur alle Jahre mal neu gestartet
> wird, kann ich da auch schon mal runter in den Keller (wo beides steht),
> um das Passwort einzutippen.

Das könnte man ja auch per SSH tun.


> Gedacht habe ich mir das so, dass zur
> Datensicherung der Server die Verbindung zum Produktivnetz kappt, die VM
> startet, diese das Backup-NAS ebenfalls LUKS-gesichert einbindet und per
> Borg Backup die Daten sichert. Nach Beendigung der Datensicherung fährt
> die VM wieder herunter, und der Server baut die Verbindung zum
> Produktivnetz wieder auf.

Wozu? Warum die Netztrennung? Welchen Vorteil bringt das gegenüber einer
Deaktivierung der entsprechenden Dienste (NFS/CIFS)?

Wozu die VM? Wenn der Backup-iSCSI-Zugriff auf eine VM beschränkt werden
kann, dann kann er auch auf den Server beschränkt werden.

> 2.
> Die Datensicherung soll unbeaufsichtigt laufen. Dazu muss dann das mit
> LUKS verschlüsselte Volume eingebunden werden. Da ich nicht jede Nacht
> in den Keller rennen und ein Passwort eingeben will, muss das anders
> erfolgen. Vielleicht könnte man das Passwort oder Key irgendwo ablegen
> und dass dann in einen Aufruf pipen, aber das wäre ja nicht gerade der
> Sinn der Sache. Welche andere Möglichkeit gibt es dafür? Vielleicht eine
> Art USB-Stick, der das Passwort oder Key o.ä. vergisst, sobald ihm der
> Strom fehlt, oder irgendetwas in der Art? Gibt es sowas?

Der vergessliche USB-Stick heißt /run, aber das ist ja nicht nötig, weil
die fragliche Information in dem LUKS-Volume untergebracht werden kann.
Das LUKS-Volume (ich empfehle, denselben LUKS-Header für das reguläre
und das Backup-Volume zu verwenden, mit neu gesetzter UUID) sollte neben
dem Passwort einen key slot bekommen, der für eine Schlüsseldatei
verwendet wird.


> 3.
> Welche Methode ist die beste, um den Server vom Produktivnetz zu trennen
> und wieder zu verbinden? ifup/ifdown, oder?

- Dienst beenden (das stellt sicher, dass vor dem Backup alle Buffer
geleert werden)
- Dienst in der Firewall sperren


> 4.
> Wo bringe ich die Scripte (auch in der VM) am besten unter?

Auf dem LUKS-Volume? Dann hast Du sie automatisch im Backup.

Ansonsten: /opt


Ich empfehle, das mit btrfs-Snapshots zu machen. Auf diese Weise wird
die Verfügbarkeit der Dienste nur für eine Sekunde unterbrochen. Anders
als (AFAIK) bei LVM lassen sich die Snapshots auch sauber differentiell
übertragen, und man kann den Snapshots entnehmen, welche Daten sich
geändert haben.


CU

Hauke

Mehr Informationen über die Mailingliste linux-l