在保留对windows文件系统的权限的同时进行加密备份的最佳方法

Question

对于我的家庭网络，我想买一个NAS，它支持磁盘加密和NFS，因为备份对我来说很重要，但也保留了所有者、组和权限(因此NFS)。这样，我就可以使用rsnapshot或rBackup之类的东西来备份数据并获取多个快照。不幸的是，我没有找到任何同时支持NFS和加密的NAS。因此，我想知道是否有可能使用NAS (不使用NFS) (例如，使用CIFS而不是NFS )来实现这一点。因此，我正在寻找满足以下要求的备份解决方案：

• 备份到本地网络中的NAS (即我不想使用本地usb驱动器)
• 它应该保留所有者、组和权限以及符号链接。
• 它应该被加密
• 应该有多个快照可用，如在rsnapshot或rBackup中
• 访问快照的文件应该很容易。
• 不应该太慢

有什么具体的办法吗？

编辑:我只是试图总结到目前为止的答案，并想问一些额外的问题，以澄清一些要点。使用不依赖于目标设备的容器、熔断器或其他“伪造”文件系统似乎是最灵活的选择。在这种方法中，我可以使用任何我喜欢的备份脚本，加密由客户端CPU完成。这些可能性是：

• EncFS
• Truecrypt
• dmcrypt/luks
• S3QL

我不确定是否可以同时从两个客户端通过S3QL在NAS上读写。对其他方法来说，这不成问题，对吗？关于权限，无论如何，我必须确保它与NFS一起工作。例如，我可以做我的备份脚本，以保留数值uid/gid，并在NAS上没有设置任何用户。

EncFS似乎是迄今为止最简单的解决方案。在特鲁克特和dmcrypt/luks中，我必须提前选择容器大小，这似乎不如EncFS或Truecrypt那么灵活。然而，这些解决方案在读写性能和稳定性方面是否存在显著差异？

到目前为止提到的另一种有趣的方法是使用duplicity作为备份脚本，它通过gpg本身进行加密。

Answer 1

您可以在NFS之上使用EncFS。

encfs /encrypted_place_at_nfs /mnt/place_to_access_it_unencrypted

Answer 2

我也会检查S3QL。它为网络备份提供了许多有趣的功能。它主要用于云备份，但也可以用于局部网络，例如，使用NFS或SSHFS。

关于如何使用该软件进行备份，这要由您来处理，S3QL只是一个具有一些额外功能的远程文件系统。

无论如何，S3QL包包括一个示例脚本，用于说明如何实现它。他们主要做的是，利用软件的数据去重复功能，用日期作为名称对远程目录进行备份，然后，每次备份完成时，执行以前备份的副本，并将其重命名为备份的当前日期，这样就只需要使用rsync将差异上传到新目录。最后，运行备份的所有日期都会有一组目录，只使用所需的最小存储空间，因为数据是不重复的。

编辑：(作为对其他问题的回答)

S3QL文件系统一次只能从一个客户端挂载，但是我认为这个限制也适用于EncFS和dmcrypt/luks。不管怎么说，这不是你的要求，对吧？如果这是一个新的需求，那么您可能会被困在使用NFS或CIFS和一些备份软件，为您的客户端提供服务，如欺骗。

Answer 3

可以对整个硬盘进行在NAS框上安装debian和加密。问题是，大多数NAS盒中的处理器(特别是那篇文章中的DNS-323中的处理器)速度非常慢，本地磁盘加密使得它们非常慢，没有响应能力。

另一种解决方案是在任何未加密的NFS共享上托管一个加密的truecrypt容器。然后，您可以在客户端计算机上挂载它，并在加密的容器中使用您喜欢的任何备份方法。这样，服务器就不必进行加密计算。

第三种选择是使用双面性对未加密的文件系统进行加密的增量备份，并保留权限和符号链接。它的工作原理很像rsync，但是数据是用PGP加密的。缺点是，备份的存储方式不太透明，因此访问特定文件的前一个版本有点不简单。

我个人使用DNS 323运行使用未加密RAID的Debian，并以欺骗方式进行备份。这不是一个完美的解决方案，但这是我所发现的最好的解决方案，除了作为备份服务器运行一个完整的PC。我有过使用truecrypt的良好经验，但是很难像重复一样轻松地自动化这个过程，因为每次都需要安装一个单独的容器。