Debian

如何從備份中加密大型 (20Gb+) 壓縮文件?

  • December 23, 2014

我想加密 OpenVZ 容器中定期創建和壓縮的備份文件,然後它們離開伺服器並通過 ftp 複製到提供者的備份空間。

它們的大小不同,從 6 GB 到 50 GB(壓縮後,lzo)更新……並且由虛擬化環境 Proxmox 自動創建。

關於 mcrypt(“程式碼質量/支持”)或 openssl(“不適用於大文件”)的各種評論讓我懷疑它們是否合適。你能推薦什麼?

此外:我無法在壓縮過程中將備份文件拆分為較小的部分,並且出於性能原因不想在之後執行此操作。如果您想提一下,我在使用重複性方面有過不好的經歷,並且想避免它。

伺服器環境是 Debian 7。

其他人提出了各種適用於流水線的對稱加密工具,例如aespipe. 我懷疑這些將盡可能高效,因為加密是一種相當消耗 CPU 的事情,而且這不是一個壞建議。

但我建議考慮使用非對稱工具,例如gpg. 引擎蓋下的批量加密仍將通過使用隨機數密鑰的對稱密碼進行,但使用可用的 GPG 工具鏈,密鑰管理的整個問題變得非常容易。

特別是,使用簡單的對稱密碼來加密備份要麼會嚴重破壞安全性(因為相同的密鑰用於加密所有備份,並且伺服器必須定期訪問它)或大大增加您的複雜性(因為您為每個備份使用不同的密鑰,並且現在必須手動管理它們)。

使用類似的工具gpg,您可以為所有備份的加密生成單個密鑰對,並且加密的伺服器只需要加密備份的公共部分。您可以單獨保存私鑰,或者在正常安全下,或者 - 如果業務原因需要 - 安排在許多個人之間拆分密鑰,使用標準密鑰共享協議需要其中的一些子組來重建私鑰。

引用自:https://serverfault.com/questions/654397