Die Idee die daten zu verschlüsseln ist gut und es sollte auch auf dem Quellrechner geschehen, wenn die Schlapphüte nicht schauen dürfen. DENN: Der Rechner im RZ steht nicht unter Deiner Kontrolle, da könntez.B. bei einem Wartungsshutdown deinem Betriebssystem ein Hypervisor untergeschoben wurden sein, damit läuft sein OS inkl. verschlüsselung in einer VM ohne das Du das merkst, und die Schlapphüte können ganz bequem von ausserhalb auf Deine laufende VM inkl. der ver- und entschlüsselung draufschauen, inkl. dem nötigen Key. Eine "sichere" Verschlüsselung kann man nur gewährleisten, wenn man die Hardware auf der das läuft permanent unter ausschließlich eigener Kontrolle hat. Man könnte z.B. alle Dateien vor dem Transport mit pgp/gpg verschlüsseln, dann kann auf dem Zielserver los sein was will man bekommt nix vom Inhalt mit. Wenn man noch die Dateinamen vertuschen will muss man halt verzeichnisweise tar drüberlaufen lassen und die tars dann verschlüsseln. Dann muss man aber lokal Buch führen was gebackupt werden muss und was nicht. Viele Grüße Andreas 2013/7/11 <hamann.w@t-online.de>:
Hallo,
wir wollen jetzt mit einer Kiste an einem anderen Ort einen Schutz der Daten vor Elementarschäden erreichen. Bis vor kurzem wäre mein Ansatz dazu gewesen rsync + hardlinks am Zeil, um versionierte Backups zu erhalten ssh, damit die Daten während der Übertragung nicht mitgelesen werden Zugang zur Kiste nur mit Zertifikat
Nachdem man aber jetzt auch bei einem vertrauenswürdigen Provider sich nicht sicher sein kann, ob nicht kleine grüne Männchen mit Schlapphut dort durch die Betriebsräume laufen, sollten die Daten dort auch verschlüsselt sein. Üblich scheint eine verschlüsselte Partition zu sein - das bedeutet allerdings, dass man nach einem allfälligen Neustart jedesmal die Passphrase übertragen muss. Deshalb die vage Idee: was wäre eigentlich, wenn der rsync Prozess die Daten transparent verschlüsseln würde - also der Backupserver nie das Geheimnis, sondern nur verschlüsselte Dateien zu sehen bekäme. Mir ist klar, dass dabei im Gegensatz zu einem verschlüsselten Dateisystem die Anzahl und Grösse der Dateien offen sichtbar wäre. Ansonsten: gibt es sowas irgendwo, oder ist die Idee schon vorn vornherein falsch?
Viele Grüsse Wolfgang Hamann
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org