Шифрование монтируемых дисков

[tarya]

Добрый день. Есть такая задача делать бекапы на удаленный сервер (это я умею) но чтоб там удаленная директория была зашифрована. На случай если вынесет кто сервант и все данные будут доступны напрямую. Возможно ли такое? При этом чтоб не вводить каких то ключей при загрузке сервера чтоб все было автоматически (на случай перебоев питания).

Возможно ли такое и подскажите куда смотреть.

Спасибо.

[salvador]

tarya,  откуда сервер должен узнать о том, что ему нужно какую-то дирректорию расфифровать при загрузке ?

Разумнее всего будет отправлять файлы на сервер уже в защифрованном виде, т.о. на удаленном сервере не будет информации о ключе шифрования.

[tarya]

А как такое делается?

[salvador]

tarya, для начала нужно описать что попадает в резервную копию и каким способом она делается.

Можно прогонять архив с резервной копией через gpg или openssl (не знаю что быстрей), но из-за этого увеличится время создания резервной копии. Думаю, алгоритм шифрования AES будет работать быстрей, если процессор его поддерживает.

[tarya]

Спасибо за ваши ответы.

Сейчас бекап делается посредством Rsnapshot настроено через SSH. Сохраняет копии. Но можно и через RSYNC просто делать как бы зеркало, без разделений на даты. У меня просто 4 сервера на убунте и все в разных местах территориально и все на 100 мегабитах работают. Я бы просто мог друг другу пересылать данные как бы замесить чтоб все не было в одном месте.

[salvador]

tarya, ваше решение не подходит под шифрование.

Если у вас 4 рабочих сервера и на них же хранится резервная копия, то нужно шфровпть весь сервер, при условии, что вы хотите защитить информацию от того, кто физически получит доступ на сервер или к дискам.

[tarya]

Смотрите. Есть виндовый сервер на рейде. На нем в терминальных сессиях работают люди. Каждую ночь я сбрасываю все их директории и разные файлы на сетевой диск под самбой - делаю зеркало. Потом с этого зеркала rsnapshot делает свои копии еще на два диска. Итого дисков дофига. Но как говорится - кто знает что может в этом мире случиться. Потому у меня идея была переписывать еще куда то - синхронизировать. Но если бы все это на лету шифровалось то было бы очень хорошо.

Я могу удаленные сервера зашифровать и целиком, я только не понимаю как они будут стартовать автоматом без ввода ключа от диска. Думал что домашнюю директорию не шифровать а просто зашифровывать подключаемый диск и на него писать что автоматически бы шифровалось. А если забрать сервер то включая его и не зная пароля как бы доступ к файлам не получить а вытянув диски тоже. Вот я так думал.