我们在尝试备份笔记本电脑的主目录时遇到了困难,这给我们带来了很大的麻烦.归结为:
>如果用户A已登录,则主目录将被解密,并且/home/.ecryptfs/A中的加密文件将被锁定以防止从其他进程读取(这是一件好事)
>如果用户B未登录,则他的主目录不会被解密,只有/home/.ecryptfs/B中的加密文件.
>我们需要有一个可以运行的备份脚本,当用户A登录时(因为她在我们的情况下手动启动它),用户B可能会或可能不会登录(通常不会).
现在的问题是:我们应该备份什么?如果我们去加密数据,则无法备份用户A的内容.另一方面,解密数据意味着用户B也必须登录.在恢复某些东西时,混合两者会带来愉快的时间.
解决方法
直接回答您的问题 – 备份/home/.ecryptfs/的内容.这将备份(加密副本)所有用户的所有文件.
此外,如果需要,您应该能够解密文件.因此,您应该将未打包的密码存储在安全的地方,以防用户忘记密码,离开…要获取它,让用户运行
ecryptfs-unwrap-passphrase
登录时,将结果存储在某处.它足够小,你可以把它写下来(双三重检查)并将其存放在保险箱中,或者让两个人保持一半或一些这样,取决于你需要多少安全性.
否则你需要/home/.ecryptfs/*/.ecryptfs/wrapped-passphrase和用户密码.
您还应注意,同步加密数据时,rsync将无法加速文件传输.未加密文件中的任何更改都将完全更改加密文件.压缩不会真正适用于加密数据.对于您的情况,这不应该是一个大问题,其中同步是通过LAN进行的,但对于阅读此问题的其他人来说可能很重要.虽然rsync仍然可以检查加密文件是否未更改,因此它不必重新传输未更改的文件.
这个问题的读者可能也对this guide to backing up by the maintainer of ecryptfs感兴趣.
