expertenaustausch > comp.os.* > comp.os.unix.networking.misc

Detlef Sax (18.01.2020, 22:03)
Lange denke ich schon darüber nach ein zusätzliches Cloud-Backup
bei einem deutschen Hoster zu buchen.
Für die Meisten hier sicher Alltag.

Auch werben verschiedene Anbieter von Cloudlösungen mit
Verschlüsselung.
Nun möchte ich aber aus Gründen selbst oder zusätzlich verschlüsseln.
Mein Geld, meine Daten, mein Schlüssel.

Zwei Fragen stellen sich mir dabei:
Erstmal worauf beim Angebot achten. Z.B. Nextcloud-Angebot von Hetzner.
Ist Nextcloud überhaupt geeignet zum Backup?

Und dann selbst verschlüsseln. Was benutzt der Linux-Mann von Welt
heutzutage für Tools um Backups in der Cloud abzusichern?

Zuhause benutze ich geli unter FreeBSD. Aber so ziemlich alles was es
in der Linux-Welt gibt kann ich auch hier einsetzen.

Nur brauche ich Namen/Erfahrungen von/mit den Tools die etwas für
diesen Job taugen könnten um mich schlauer zu machen.

Danke im voraus für Tipps.

Detlef
Heiko Schlichting (20.01.2020, 12:55)
Detlef Sax <sax> wrote:
[..]
> Ist Nextcloud überhaupt geeignet zum Backup?
> Und dann selbst verschlüsseln. Was benutzt der Linux-Mann von Welt
> heutzutage für Tools um Backups in der Cloud abzusichern?


Das kann ich Dir nicht beantworten, aber ich würde es it "rclone"
probieren:

Mit Nextcloud als Ziel funktioniert es gut und verschlüsseln soll es auch
können. Letzteres habe ich selbst mangels Bedarf aber noch nicht getestet.

Heiko
Detlef Sax (20.01.2020, 18:02)
On 20 Jan 2020 10:55:03 GMT, Heiko Schlichting wrote:
> Detlef Sax <sax> wrote:
> Das kann ich Dir nicht beantworten, aber ich würde es it "rclone"
> probieren:
> Mit Nextcloud als Ziel funktioniert es gut und verschlüsseln soll es auch
> können. Letzteres habe ich selbst mangels Bedarf aber noch nicht getestet.


Danke für die Antwort.
Zum verschlüsseln wird ein "crypt" benutzt. Ich hoffe es ist nicht dieses:

ENIGMA(1) FreeBSD General Commands Manual ENIGMA(1)

NAME
enigma, crypt ? very simple file encryption

SYNOPSIS
enigma [-s] [-k] [password]
crypt [-s] [-k] [password]

Auf der rclone-Seite habe ich bei "crypt" auch nach der Art der
Verschlüsselung gesucht, auf AES oder ähnliches gehofft und nicht
gefunden. So denke ich das es tatsächlich diese
"very simple file encryption" ist.

Nix für ungut. Ich freu mich ja das überhaupt einer antwortet.
Da kann ich auch taren und gnupg drüber schicken. Das sollte bis auf
tar sicherer sein.

Detlef
Ulf Volmer (20.01.2020, 21:17)
Detlef Sax <sax> schrieb:
> Lange denke ich schon darüber nach ein zusätzliches Cloud-Backup
> bei einem deutschen Hoster zu buchen.
> Für die Meisten hier sicher Alltag.
> Auch werben verschiedene Anbieter von Cloudlösungen mit
> Verschlüsselung.
> Nun möchte ich aber aus Gründen selbst oder zusätzlich verschlüsseln.
> Mein Geld, meine Daten, mein Schlüssel.


Meine Lösung für verschlüsseltes Backup ist borg [1].
Das setzt aber auf einen (reduzierten) ssh- Zugang auf und kommt
damit für

> Erstmal worauf beim Angebot achten. Z.B. Nextcloud-Angebot von Hetzner.
> Ist Nextcloud überhaupt geeignet zum Backup?


nicht in Frage. Ich habe viel gutes über restic [2] gehört, welches sich
über rclone [3] wohl auch an Nextcloud anbinden kann.

[1]:
[2]:
[3]:

Viele Grüße
Ulf
Detlef Sax (20.01.2020, 22:55)
On Mon, 20 Jan 2020 20:17:15 +0100, Ulf Volmer wrote:
> Detlef Sax <sax> schrieb:
>> Lange denke ich schon darüber nach ein zusätzliches Cloud-Backup
>> bei einem deutschen Hoster zu buchen.
>> Für die Meisten hier sicher Alltag. [...]


> Meine Lösung für verschlüsseltes Backup ist borg [1].
> Das setzt aber auf einen (reduzierten) ssh- Zugang auf und kommt
> damit für
> nicht in Frage. Ich habe viel gutes über restic [2] gehört, welches sich
> über rclone [3] wohl auch an Nextcloud anbinden kann.
> [1]: [...]


Habe ich schon Gutes von gehört, wusste bisher nicht das auch
Verschlüsselung (AES-256) kein Problem ist.
Nach überfliegen des obigen links und der wesentlichen Punkte kommt
mir borg durchaus sympathisch rüber. Syntax scheint auch sehr einfach.

Auf Nextcloud bin ich gewiss nicht festgenagelt. Das ist vom
Funktionsumfang viel zu groß und auch träge. Habe halt nach Cloud
gesucht. Reiner Online-Speicherplatz mit ssh müsste es doch auch von
kleineren deutschen Anbietern geben?

Sowas habe ich eigentlich schon als Webspace. Muss mal schauen wieviel
Platz da im Vertrag steht. Habe jetzt mal etwas laut gedacht.

Danke vielmals.

Detlef
Heiko Schlichting (21.01.2020, 13:14)
Detlef Sax <sax> wrote:
> On 20 Jan 2020 10:55:03 GMT, Heiko Schlichting wrote:
> Danke für die Antwort.
> Zum verschlüsseln wird ein "crypt" benutzt. Ich hoffe es ist nicht dieses:
> ENIGMA(1) FreeBSD General Commands Manual ENIGMA(1)
> NAME
> enigma, crypt ??? very simple file encryption


Das halte ich für ausgeschlossen. Es wird wohl auch kein rot13 sein.

> Auf der rclone-Seite habe ich bei "crypt" auch nach der Art der
> Verschlüsselung gesucht, auf AES oder ähnliches gehofft und nicht
> gefunden. So denke ich das es tatsächlich diese
> "very simple file encryption" ist.


Wenn ich den Abschnitt "File encryption" auf der Webseite



lese, komme ich zu einem anderen Schluss. Ich selbst verwende rclone zu
NextCloud derzeit (noch) ohne Verschlüsselung, weil ich das Ziel
hinreichend unter Kontrolle habe. Persönliche Erfahrung habe ich daher
nicht und ich programmiere auch nicht in Go, daher kann ich Dir auch nicht
versichern, dass die Verschlüsselung von rclone wirklich sicher ist. Ich
kann verstehen, wenn Du auf etabliertere und besser auditierte Verfahren
setzen willst. Aber das von Dir genannte Programm eignet sich seit mehr als
20 Jahren doch nur noch als Witz.

> Da kann ich auch taren und gnupg drüber schicken. Das sollte bis auf
> tar sicherer sein.


Wenn die Datenmenge und die Anwendung das zuläßt, ist das eine einfache und
sichere Methode. Aber wenn die Datenmenge größer wird, wird es sehr schnell
unhandlich. Es müssen bei einem Backup ja immer alle Daten übertragen
werden (und bei einem Restore auch, der aber hoffentlich selten ist).

Heiko
Heiko Schlichting (21.01.2020, 13:16)
Detlef Sax <sax> wrote:
> Auf der rclone-Seite habe ich bei "crypt" auch nach der Art der
> Verschlüsselung gesucht, auf AES oder ähnliches gehofft und nicht
> gefunden. So denke ich das es tatsächlich diese
> "very simple file encryption" ist.


Nachtrag: Auf der Seite steht:

| Rclone uses scrypt with parameters N=16384, r=8, p=1 with an optional
| user supplied salt (password2) to derive the 32+32+16 = 80 bytes of key
| material required. If the user doesn't supply a salt then rclone uses an
| internal one.

Heiko
Ulf Volmer (21.01.2020, 13:29)
Detlef Sax <sax> schrieb:
[..]
> Funktionsumfang viel zu groß und auch träge. Habe halt nach Cloud
> gesucht. Reiner Online-Speicherplatz mit ssh müsste es doch auch von
> kleineren deutschen Anbietern geben?


Da Du ja das Nextcloud- Angebot von Hetzner angesprochen hast, Hetzner
hat ein Produkt StorageBox, welches als Ziel für Borg in Frage kommt.

> Sowas habe ich eigentlich schon als Webspace. Muss mal schauen wieviel
> Platz da im Vertrag steht. Habe jetzt mal etwas laut gedacht.


Oder so.

Viele Grüße
Ulf
Detlef Sax (21.01.2020, 15:09)
On 21 Jan 2020 11:14:04 GMT, Heiko Schlichting wrote:
> Detlef Sax <sax> wrote: [...]
> Das halte ich für ausgeschlossen. Es wird wohl auch kein rot13 sein.
> Wenn ich den Abschnitt "File encryption" auf der Webseite
>
> lese, komme ich zu einem anderen Schluss. Ich selbst verwende rclone zu


Du hast recht. Tut mir leid.

Habe weitergelesen und gefunden:
Chunk
Each chunk will contain 64kB of data, except for the last one which
may have less data. The data chunk is in standard NACL secretbox
format. Secretbox uses XSalsa20 and Poly1305 to encrypt and
authenticate messages.

Das wird wohl für Fileinhalte benutzt.
Für die Filenamen wird:

Name encryption
File names are encrypted segment by segment - the path is broken up
into / separated strings and these are encrypted individually.
File segments are padded using using PKCS#7 to a multiple of 16 bytes
before encryption.
They are then encrypted with EME using AES with 256 bit key.

Nicht übel. Das ist sogar eine Spur paranoider als ich es brauche.

> NextCloud derzeit (noch) ohne Verschlüsselung, weil ich das Ziel
> hinreichend unter Kontrolle habe. Persönliche Erfahrung habe ich daher
> nicht und ich programmiere auch nicht in Go, daher kann ich Dir auch nicht
> versichern, dass die Verschlüsselung von rclone wirklich sicher ist. Ich
> kann verstehen, wenn Du auf etabliertere und besser auditierte Verfahren
> setzen willst. Aber das von Dir genannte Programm eignet sich seit mehr als
> 20 Jahren doch nur noch als Witz.


Um einen Schrecken zu bekommen wenn man den Namen irgendwo liest
reicht es noch :-)

>> Da kann ich auch taren und gnupg drüber schicken. Das sollte bis auf
>> tar sicherer sein.

> Wenn die Datenmenge und die Anwendung das zuläßt, ist das eine einfache und
> sichere Methode. Aber wenn die Datenmenge größer wird, wird es sehr schnell
> unhandlich. Es müssen bei einem Backup ja immer alle Daten übertragen
> werden (und bei einem Restore auch, der aber hoffentlich selten ist).


ca. 20 GiB

Detlef
Detlef Sax (21.01.2020, 18:28)
On Tue, 21 Jan 2020 12:29:29 +0100, Ulf Volmer wrote:
> Detlef Sax <sax> schrieb:


>>> [1]: [...]


Gerade installiert, noch nicht inspiziert, weil meine Cloud noch nicht
fertiggestellt ist.

> Da Du ja das Nextcloud- Angebot von Hetzner angesprochen hast, Hetzner
> hat ein Produkt StorageBox, welches als Ziel für Borg in Frage kommt. [...]


Habe ich mir angeschaut und weil ich weniger als 100GB brauche für das
kleine Geld sofort gebucht. Kein großer Schnickschnack, alle
Möglichkeiten offen.

Die Authentifizierung dauert anscheinend.

Danke erstmal für alle Anregungen.
Detlef
Detlef Sax (23.01.2020, 11:32)
On 21 Jan 2020 16:28:41 GMT, Detlef Sax wrote:
Nachtrag:

Alles läuft soweit. Backup mit borg auf die storage-box ist heute
Nacht durchgelaufen.

Mounten kann man das mit "borg mount" auch. Bis jetzt allerdings nur von
root. Woran das liegt muss ich später mal erforschen.

Bis dann
Detlef
Andreas Hartmann (27.01.2020, 09:25)
On 18.01.20 at 21:03 Detlef Sax wrote:
> Lange denke ich schon darüber nach ein zusätzliches Cloud-Backup
> bei einem deutschen Hoster zu buchen.
> Für die Meisten hier sicher Alltag.
> Auch werben verschiedene Anbieter von Cloudlösungen mit
> Verschlüsselung.
> Nun möchte ich aber aus Gründen selbst oder zusätzlich verschlüsseln.
> Mein Geld, meine Daten, mein Schlüssel.


Vollkommen korrekt - die "Verschlüsselung" der Daten seitens der
Anbieter ist nichts Wert.

Hier[1] mal eine Übersicht über einige Tools und deren Einordnung /
Bewertung.

Die korrekte Verschlüsselung der Daten ist eine Wissenschaft für sich
und alles andere
als trivial, weil man auf den ersten Blick viele "Angriffspunkte" übersieht.

Ich habe mich damals nach Test diverser Tools entsprechend meinem
Usecase für securefs[2] in Verbindung mit davfs2 entschieden.

[1]
[2]

Gruß
Andreas
Wolfgang Klein (06.02.2020, 08:49)
Moin!

Am 27.01.20 um 08:25 schrieb Andreas Hartmann:
> ...
> Ich habe mich damals nach Test diverser Tools entsprechend meinem
> Usecase für securefs[2] in Verbindung mit davfs2 entschieden.
> [1]
> [2]
> ...


Ich bin mir nicht sicher, daß dies für eine verschlüsselte Sicherung in
einer Wolke die richtigen Werkzeuge sind. Denn wenn ich es richtig
verstanden habe, handelt es sich bei securefs um eine transparente
Verschlüsselung: nachdem das Dateisystem nach der Eingabe des Schlüssels
eingehangen wurde, verhält es sich aus Sicht des Anwenders wie ein
unverschlüsseltes Dateisystem, die Ver- und Entschlüsselung geschieht im
Hintergrund beim Schreiben und Lesen.

Bedeutet das dann aber nicht auch, daß eine Synchronisation beim Lesen
von dem Dateisystem die Dateien in unverschlüsselter Form zu sehen
bekommt und damit auch unverschlüsselten nach außen synchronisiert?

Wolfgang
Andreas Hartmann (08.02.2020, 14:14)
Am 06.02.20 um 07:49 schrieb Wolfgang Klein:
[..]
> Bedeutet das dann aber nicht auch, daß eine Synchronisation beim Lesen
> von dem Dateisystem die Dateien in unverschlüsselter Form zu sehen
> bekommt und damit auch unverschlüsselten nach außen synchronisiert?


Nein. Definitiv nein. Die Entschlüsselung erfolgt immer *lokal* on the fly. Auf dem Remoteshare sind die Daten ausschließlich grundsätzlich verschlüsselt. Würde ja sonst 0
Sinn machen.

Gruß
Andreas
Ähnliche Themen