Restic: النسخ الاحتياطية غير المشفرة

تم إنشاؤها على ١٠ يونيو ٢٠١٧  ·  25تعليقات  ·  مصدر: restic/restic

أرغب في تعطيل التشفير ، لأنني أقوم بتخزين النسخة الاحتياطية في قسم مشفر ، وأود تجنب الحمل المزدوج للتشفير. نعم ، الدفاع في العمق وكل ذلك ، ولكن سيكون من الجيد أن تكون قادرًا على ذلك.

discussion feature suggestion
مصدر
picture teknico
👍606 👎2

التعليق الأكثر فائدة

لقد سمعت طلب هذه الميزة عدة مرات الآن ، وكان يدور في ذهني أن هناك مشكلة تتعلق به. نظرًا لأنه لا يمكنني العثور عليه ، يتم تعقب طلب الميزة هذا هنا. النسخة القصيرة هي: قد نضيف في نهاية المطاف خيارًا لتعطيل التشفير ، لكن هذا ليس على خريطة الطريق في الوقت الحالي.

النسخة الطويلة هي:

  • لم يعد التشفير مكلفًا بعد الآن ، على الأقل إذا كان لديك AES-NI (تشفير سريع للأجهزة) ، وهو أمر شائع جدًا في الوقت الحاضر (على الأقل في أجهزة الكمبيوتر المحمولة والخوادم)
  • لا تهتم restic بالتشفير فحسب ، بل تهتم أيضًا بمصداقية البيانات وتوقيعها. نحتاج إلى إيجاد طريقة لتنفيذ ذلك بدون تشفير ، لذلك سنحتاج إلى الاحتفاظ بمفتاح / كلمة مرور على أي حال.
  • بمجرد أن يكون لدينا مسار رمز يسمح بالنسخ الاحتياطية غير المشفرة ، هناك فرصة أن يجد المهاجمون طريقة لخداع العميل لحفظ البيانات دون تشفير في مستودع مشفر (أصلاً). حدث ذلك مع برامج النسخ الاحتياطي الأخرى من قبل ، لذلك نحتاج إلى توخي الحذر الشديد ، الأمر الذي يستغرق وقتًا وموارد ليست لدينا في الوقت الحالي.

يمكنني إضافة المزيد من النقاط عندما أجدهم.

picture fd0 في ١٠ يونيو ٢٠١٧
👍20 👎7

ال 25 كومينتر

لقد سمعت طلب هذه الميزة عدة مرات الآن ، وكان يدور في ذهني أن هناك مشكلة تتعلق به. نظرًا لأنه لا يمكنني العثور عليه ، يتم تعقب طلب الميزة هذا هنا. النسخة القصيرة هي: قد نضيف في نهاية المطاف خيارًا لتعطيل التشفير ، لكن هذا ليس على خريطة الطريق في الوقت الحالي.

النسخة الطويلة هي:

  • لم يعد التشفير مكلفًا بعد الآن ، على الأقل إذا كان لديك AES-NI (تشفير سريع للأجهزة) ، وهو أمر شائع جدًا في الوقت الحاضر (على الأقل في أجهزة الكمبيوتر المحمولة والخوادم)
  • لا تهتم restic بالتشفير فحسب ، بل تهتم أيضًا بمصداقية البيانات وتوقيعها. نحتاج إلى إيجاد طريقة لتنفيذ ذلك بدون تشفير ، لذلك سنحتاج إلى الاحتفاظ بمفتاح / كلمة مرور على أي حال.
  • بمجرد أن يكون لدينا مسار رمز يسمح بالنسخ الاحتياطية غير المشفرة ، هناك فرصة أن يجد المهاجمون طريقة لخداع العميل لحفظ البيانات دون تشفير في مستودع مشفر (أصلاً). حدث ذلك مع برامج النسخ الاحتياطي الأخرى من قبل ، لذلك نحتاج إلى توخي الحذر الشديد ، الأمر الذي يستغرق وقتًا وموارد ليست لدينا في الوقت الحالي.

يمكنني إضافة المزيد من النقاط عندما أجدهم.

fd0 picture fd0 في ١٠ يونيو ٢٠١٧
👍20 👎7

هناك سبب بديل لرغبتك في الحصول على نسخ احتياطية غير مشفرة (محليًا) وهو أنه يمكن مشاركة مستودع مركزي من قبل عدة مستخدمين - على سبيل المثال ، أود إرسال نسخة احتياطية إليه عبر HTTPS ، ولكن دعهم جميعًا يتم إلغاء تكرارهم في مستودع مشترك ، حتى لو تم تقديمها على أنها منفصلة منطقيًا عن المستخدمين الفرديين.

wrouesnel picture wrouesnel في ١١ يونيو ٢٠١٧

هناك احتمال أن يجد المهاجمون طريقة لخداع العميل لحفظ البيانات دون تشفير في مستودع مشفر (أصلاً).

حسنًا ، اعتقدت أن الفكرة كانت أن المستودع إما مشفر أم لا ، لذلك لن يكون من الممكن حفظ البيانات غير المشفرة في مستودع مشفر ... وإذا تم استبدال المستودع المشفر بطريقة ما بمستودع غير مشفر بنفس الشيء الاسم والموقع ، يجب أن يلاحظ المستخدم أنه لم يتم طلب كلمة مرور. ربما يمكن طباعة تحذير بنص أحمر وامض غامق ، بأن المستودع غير مشفر :).

alexeymuranov picture alexeymuranov في ١٢ يونيو ٢٠١٧

wrouesnel ، يمكنك فعل ذلك بالفعل ، مع التمييز باسم المضيف! (كنت أتساءل نفس الشيء في ذلك اليوم) :)

alexeymuranov كيف تحدد ما إذا كانت كلمة المرور التي أدخلها المستخدم هي كلمة مرور التشفير لدليل مشفر ، أو كلمة مرور MAC للتحقق من صحة دليل غير مشفر؟ أكثر --switches ؟ يصبح فوضويًا سريعًا جدًا.

cfcs picture cfcs في ١٣ يونيو ٢٠١٧

أرغب في الحصول على هذا الخيار لعمل نسخ احتياطية محلية. على سبيل المثال ، أقوم كل يوم بتشغيل نسخة احتياطية من دليل ~ / Music على خادمي ، لكني لست بحاجة إلى تشفيرها. النسخ الاحتياطي ليس للحماية من فشل الأجهزة أو فقدانها (لدي نسخ احتياطية أخرى لذلك) ، ولكن ببساطة للحماية من الحوادث و bitrot. والخادم منخفض الطاقة إلى حد ما ، لذا فإن عبء التشفير يمثل مشكلة.

alphapapa picture alphapapa في ١٦ أغسطس ٢٠١٧
👍7

alphapapa لذلك هناك rsync .
تحرير: وأذونات / سمات الملف. راجع للشغل ، ما هو الفرق بين "فشل في الأجهزة" و "bitrot"؟

cfcs picture cfcs في ١٧ أغسطس ٢٠١٧

cfcs ، rsync لا يزيل تكرار.

alexeymuranov picture alexeymuranov في ١٧ أغسطس ٢٠١٧

لذلك هناك rsync.

cfcs كما نعلم جميعًا ، المرآة ليست نسخة احتياطية. ؛) باستخدام Obnam ، احتفظ بسلسلة من النسخ الاحتياطية ، على غرار restic: keep = 7d,8w,12m,3y منذ أن فقدت مفتاح GPG الخاص بي (لأنه تم قطعه بشكل غامض إلى 0 بايت دون ملاحظتي ، وتم نسخ الملف المقتطع احتياطيًا مرارًا وتكرارًا) ، واضطررت إلى استخراجها من نسخة احتياطية عمرها سنوات على قرص مضغوط قابل للتسجيل ، أدرك أهمية الاحتفاظ ببيانات النسخ الاحتياطي القديمة.

راجع للشغل ، ما هو الفرق بين "فشل في الأجهزة" و "bitrot"؟

عادةً لا يتم اكتشاف Bitrot حتى تحتاج إلى البيانات الفاسدة ، ولا يجعل الجهاز بأكمله غير قابل للقراءة. فشل الأجهزة ، على سبيل المثال فشل القرص تمامًا ، فشل النظام في التمهيد ، إلخ.

وكما يشير أليكسي ، فإن rsync لا يزيل تكرار ، ولا يوفر تقليم بيانات النسخ الاحتياطي القديمة ، ولا فحوصات سلامة البيانات ، وما إلى ذلك. rsync أداة جيدة ، وأنا أستخدمها بانتظام ، ولكن ليس لعمل نسخ احتياطية .

alphapapa picture alphapapa في ١٧ أغسطس ٢٠١٧

لم يعد التشفير مكلفًا بعد الآن ، على الأقل إذا كان لديك AES-NI (تشفير سريع للأجهزة) ، وهو أمر شائع جدًا في الوقت الحاضر (على الأقل في أجهزة الكمبيوتر المحمولة والخوادم)

ما لم يكن برنامجك مكتوبًا في go. Go's crypro هو برنامج فقط لأي شيء باستثناء intel - لذا فأنت عالق مع جهاز ذراع مع "وقت النسخ الاحتياطي المقدر - 14 يومًا" لمجموعة الملفات نفسها التي تكتمل في أقل من 30 دقيقة مع حل النسخ الاحتياطي الرسمي المستند إلى opensl على NAS الخاص بي .

TankTheFrank picture TankTheFrank في ١١ أكتوبر ٢٠١٧
👍13

أود أن أرى هذه الميزة أيضًا. أنا أستخدم SSH للنقل وأقوم بتخزين النسخ الاحتياطية الخاصة بي على وحدات التخزين المشفرة LUKS / cryptsetup ، لذا فإن التشفير يضيف فقط خطر فقدان مفتاح التشفير. يضيف التشفير أيضًا مزيدًا من القدرة على التعرض للخطأ ويضيف حملاً غير ضروري إلى وحدة المعالجة المركزية.

ومع ذلك ، فإن التشفير مفيد جدًا ، عندما أقوم بالنسخ الاحتياطي إلى هدف غير موثوق به.

قد يكون الأشخاص متحمسين لتأمين ملف نصي بما في ذلك كلمة المرور إلى جانب النسخة الاحتياطية ...

Mebus picture Mebus في ١٧ ديسمبر ٢٠١٨

أستخدم أيضًا هدف نسخ احتياطي مشفر luks / dm-crypt. إنه قرص USB خارجي أقوم بتركيبه / نسخه احتياطيًا /
يمكنك فقط إنشاء ملف كلمة مرور في هذا الموقع (/ Backup / restic_password) وإطعامه باستخدام --password-file. المستودع تحت / Backup / restic_repo /
من المهم جعل ملف كلمة المرور غير قابل للتغيير ، وإلا ستفشل إذا ضاعت عن طريق الصدفة: chattr + i / Backup / restic_password
كما أنني أستخدم "restic" ككلمة مرور ، فقط في حالة حدوث ذلك.

تعد ميزة تشفير Restic مفيدة للغاية إذا قمت بالنسخ الاحتياطي لأهداف غير موثوق بها مثل موفري الخدمات السحابية. ولكن إذا كنت تستخدم فقط محركات أقراص خارجية تقوم بتخزينها في المنزل ، أو NAS في قبو منزلك ، فإن التشفير القسري سيكون جنونًا نوعًا ما. سوف ينسى المستخدم العادي كلمة المرور على أي حال.

0xattr picture 0xattr في ٢٨ مايو ٢٠١٩
👍5

يسمح السماح بالنسخ الاحتياطية غير المشفرة لـ ZFS أو BtrFS أو NTFS أو أي نظام ملفات آخر بضغط النسخ الاحتياطية.

(يمكن أن يتم التشفير عبر dmcrypt في طبقة سفلية إذا رغبت في ذلك)

HaleTom picture HaleTom في ٢٣ يوليو ٢٠١٩
👍6

يسمح السماح بالنسخ الاحتياطية غير المشفرة لـ ZFS أو BtrFS أو NTFS أو أي نظام ملفات آخر بضغط النسخ الاحتياطية.

نفس الشيء هنا ، لا يشغل الضغط والتشفير الإلزامي مساحة كبيرة على خادم النسخ الاحتياطي. إن حالة الاستخدام الخاصة بي (بعض الصور ، الكثير من ملفات xml / txt / csv الصغيرة) ستستفيد بشكل كبير من عدم وجود تشفير (لذلك يمكن لـ ZFS القيام بأمره) أو الضغط (~ 2.3 نسبة الضغط مع zstd ، 5).

Cantello picture Cantello في ٢٨ نوفمبر ٢٠١٩
👍1

إذا كنت تستخدم ZFS ، فلماذا لا تستخدم فقط لقطات zfs send ؟

cfcs picture cfcs في ٥ ديسمبر ٢٠١٩

لقطات ZFS ليست كافية للنسخ الاحتياطي في كثير من الحالات. إذا كان لديك تلف لم يتم اكتشافه في ملف ، أو إذا كنت ترغب في الحصول على سنوات من الحفظ ، فإن لقطات ZFS لا تساعد كثيرًا. مثل ، لنفترض أنك تستخدم FreeNAS وتريد الاحتفاظ بنسخ احتياطية أسبوعية لمدة عام. الجدولة وإدارة اللقطات المضمنة في FreeNAS ليست كافية حقًا لسحب ذلك بشكل صحيح. إنها ليست "روح المبادرة".

إذا كان لديك نظام جدولة أكثر تفصيلاً ، فمن المحتمل أن يعمل بشكل أفضل. هناك أيضًا مشكلة إرسال zfs التي تتطلب وجود لقطة قبل أن تتمكن من شحنها ؛ يجب عليك أيضًا إدارة جدول اللقطة والتأكد من مزامنة اللقطة والإرسال المجدول (يدويًا) بحيث تضغط على RTO / RPO.

ونعم .. أنا أتحدث عن ميزات المؤسسة على FreeNAS. لكن هذا هو القلق ...

wdeviers picture wdeviers في ٥ ديسمبر ٢٠١٩

لم يعد التشفير مكلفًا بعد الآن ، على الأقل إذا كان لديك AES-NI

يستثني مطلب AES-NI الكثير من الخوادم القديمة (والتي في بعض الحالات - مهمة بشكل خاص - لنسخها احتياطيًا!).

أنا أساعد شخصًا ما في الحصول على بعض النسخ الاحتياطية الأفضل التي تعمل على مجموعة من الخوادم في المناطق الريفية بإفريقيا ، على أجهزة تم التبرع بها عمرها أكثر من 10 سنوات (بعضها لا يزال 32 بت!). أخشى أن يضيف التشفير ببساطة الكثير من النفقات العامة ، لذلك أعتقد الآن أنني سأحتاج إلى البحث في مكان آخر.

hairyhenderson picture hairyhenderson في ١٩ فبراير ٢٠٢٠

+1 لعدم وجود تشفير

mmeinesz picture mmeinesz في ١٣ أبريل ٢٠٢٠
👍5 👎2

سيكون هذا مفيدا

IvanTurgenev picture IvanTurgenev في ١٨ أبريل ٢٠٢٠
👍3 👎2

+1 لعدم وجود تشفير

سيكون هذا مفيدا

يُرجى استخدام ميزة "الإعجاب" في الإصدار الأصلي بدلاً من "+ 1" لتجنب إغراق البريد الوارد للمراقبين. شكرا لك!

mbrgm picture mbrgm في ١٨ أبريل ٢٠٢٠
👍11

ما هي حالة هذه الميزة؟

أحتاج إلى نسخ الملفات احتياطيًا (المستندات المشتركة مثل الترجمات اليدوية للمستخدم) من خادم السامبا الداخلي الذي يمكن لجميع المستخدمين في الشركة الوصول إليه على أي حال ، فهي ليست سرية حقًا ضمن حدود الشركة. تشفير النسخ الاحتياطي في هذه الحالة لا طائل من ورائه ، فأنا أستخدم jailkit لمزيد من الأمان للنسخ الاحتياطية على أي حال ، وأستخدم نظام ملفات btrfs مع الضغط الممكّن. أقوم بعمل نسخ احتياطي لأشياء مثل مقالب قرص VM بطرق أخرى على أي حال. التشفير ليس مشكلة في حالة استخدامي ، منع فقدان البيانات يتعلق بالأولوية الوحيدة. يعد استخدام كلمة مرور مثل "restic" نوعًا من الحل البديل السخيف.

الرجاء تنفيذ هذا.

mrkafk picture mrkafk في ٢٤ سبتمبر ٢٠٢٠

mrkafk ما هي المشكلة الفعلية التي تواجهك في وجود تشفير restic؟ حتى لو لم تكن في حاجة إليها ، فستحتاج إلى أسباب محددة جدًا لكونها مشكلة ، حيث من المرجح أن تدعم وحدات المعالجة المركزية (CPU) الخاصة بك تشفير الأجهزة.

rawtaz picture rawtaz في ٢٤ سبتمبر ٢٠٢٠

لقد وصفت مشكلتي الفعلية: بالنظر إلى السياق المحدد ، لست بحاجة إليه ، بينما أفهم على الأقل أنه يلغي مكاسب الضغط في نظام ملفات btrfs. لدي الكثير من الملفات لنسخها احتياطيًا ، ولهذا السبب أستخدم btrfs مع تمكين الضغط في المقام الأول لأنه مع RAID-1 من أجل التكرار ، أحتاج إلى مساحة كبيرة على القرص (لولا ذلك ، كنت سأستخدمه كثيرًا ext4). وأيضًا ، فإن التشفير باستخدام ما يرقى إلى كلمة مرور مزيفة والقيام بالتشفير دون داع هو أمر سخيف.

mrkafk picture mrkafk في ٢٤ سبتمبر ٢٠٢٠

حسنًا ، من بين الأشياء التي كتبتها ، أجمع مشكلة حقيقية واحدة ، وهي أن ضغط BTRFS ليس فعالًا كما يمكن أن يكون بدون تشفير. هذه نقطة جيدة. بالإضافة إلى ذلك ، لا أرى أي شيء يحدك بسبب تشفير restic.

rawtaz picture rawtaz في ٢٤ سبتمبر ٢٠٢٠

من المستحيل فقدان مفتاح التشفير إذا لم يكن مشفرًا. هذا مهم بشكل خاص للنسخ الاحتياطية.

ميبوس

Mebus picture Mebus في ٢٥ سبتمبر ٢٠٢٠

من المستحيل فقدان مفتاح التشفير إذا لم يكن مشفرًا. هذا مهم بشكل خاص للنسخ الاحتياطية.

تمت مناقشة هذا الأمر كما لو أن العالم سينتهي غدًا بالفعل :) https://github.com/restic/restic/issues/1786

rawtaz picture rawtaz في ٢٥ سبتمبر ٢٠٢٠
هل كانت هذه الصفحة مفيدة؟
0 / 5 - 0 التقييمات

القضايا ذات الصلة

stevesbrain picture stevesbrain  ·  3تعليقات
mholt picture mholt  ·  4تعليقات
shibumi picture shibumi  ·  3تعليقات
e2b picture e2b  ·  4تعليقات
reallinfo picture reallinfo  ·  4تعليقات