NAS chiffré + rsync

[Jarodd]

Hello,

J'envisage de prendre un NAS pour faire un backup des pc de la maison, avec un rsync qui tourne afin de synchroniser toutes nos activités. Le tou chiffré en cas de pépin.
Est-ce que vous pensez que c'est envisageable ? Le chiffrage ne risque pas de faire ramer la synchro ?

 

 

[treflemard]

Bonjour,

 

çà dépend si le chiffrage est fait par le PC ou par le Nas .. (Le CPU des PCs sera clairement plus à même de le faire).

Que comptes-tu faire exactement ?

Les données sont déjà chiffrées sur le PC ? 

Sinon quel intêret de ne les chiffrer que sur le NAS ?

[Onishin]

Tu fais du rsync donc tu es sous linux et donc peut etre que tu voudras faire du NFS .

Alors évite les synology simple il ne supporte pas le cryptage d'un disque dur en entier mais seulement par dossier avec ecryptfs .

Je le sais , je m'etait acheter un DS1515+ et j'ai du le revendre en le bradant car il me servait a rien si pas de NFS sur un share encrypter .

Je suis avec un QNAP et pas soucis aujourd'hui .

 

 

 

[L33thium]

La charge supplémentaire infligée par le chiffrage est négligeable même sur des machines légères pour une sécurité correcte (RSA 2048b est plus que suffisant).
rsync est bien mais ne fait pas de versionning, ennuyeux si tu synchronise une erreur, pas de retour en arrière possible.

Si tu est sous Linux je te conseillerais plutot duplicity (avec ou sans dejadup, sa GUI) très simple d'utilisation, il chiffre en gpg et permet de transporter les données sur différents protocoles (rsync, webdav, openstack, ftp, ssh, ...)

Je préfère que ce soit le client qui chiffre, ainsi on peut stocker les données hors-site en sécurité, le coffre voyage sans sa clé.

[Jarodd]

Les notifs ne fonctionnent toujours pas, je découvre vos réponses. Dans l'ordre :

@treflemard les données sont déjà chiffrées sur le pc. Si la sauvegarde est en clair, autant dire que toutes mes données ne sont pas protégées. C'est comme fermer la porté à clé et laisser la fenêtre grande ouverte.

@Onishin merci pour l'info sur le chiffrage avec les Syno, je l'ignorais. Dommage, je suis satisfait de mon DS212j, le prochain ne sera pas de la même marque alors.

@L33thiumc'est duplicity qui gère le chiffrage ? J'avais compris qu'il permettait la synchro (données chiffrées ou pas). Quid du déchiffrement par un autre client ? J'aimerais bien que les données soient accessibles (et déchiffrables) depuis un autre poste, suffira-t-il que j'utilise duplicity depuis ce poste ?

[L33thium]

duplicity chiffre sur le poste avec gpg (sans paire de clés, juste une passe-phrase donc déchiffrable n'importe ou par qui connait la phrase)

[treflemard]

Il y a 17 heures, Jarodd a écrit :

treflemard les données sont déjà chiffrées sur le pc. Si la sauvegarde est en clair, autant dire que toutes mes données ne sont pas protégées. C'est comme fermer la porté à clé et laisser la fenêtre grande ouverte.

Ce que je veux dire, c'est que si les données sont déjà chiffrées sur le PC, tu peux sauvegarder les données déjà chiffrées. Tu fais une copie des données déjà chiffrées (il te faudra donc ton PC ou la clé qui va  avec pour les déchiffrer).

 

[Jarodd]

Les données sont chiffrées sur le pc, mais c'est Ubuntu qui les a chiffrées, je ne sais pas comment. Moi je les vois déchiffrées quand j'utilise le système, mais si je les met sur un NAS ou un disque externe, elles ne sont pas chiffrées.

Ok pour duplicity, je vais regarder comment ça fonctionne.

[RaphAstronome]

Il y a des chances pour que ce soit fait avec encfs. La commende "mount" dit quoi ?

Sinon sur le NAS tu peux faire également du EncFS. Avec ce système il est possible de voir la taille des fichiers chiffrés et le nombre de fichiers/dossiers dans chaque dossier mais on ne peux pas avoir le nom des fichiers/dossiers ni le contenu. En gros si tu as des fichiers de 7~10 Mo dans des dossiers avec pas mal de fichiers on peut ce douter que c'est des photos mais on ne peux pas voir ce que c'est.

Pas besoin que le NAS le supporte : tu monte le partage et après tu utilise EncFS en utilisant cet espace comme conteneur. Tu peux trouver un peu de doc ici. Fait particulièrement attention au fichier caché .encfs6.xml c'est la clé (chiffré avec ton MdP). Sauvegarde le bien en lieu sûr car si tu le perd tu perd toutes les données du encfs.

[Jarodd]

$ mount
sysfs on /sys type sysfs (rw,nosuid,nodev,noexec,relatime)
proc on /proc type proc (rw,nosuid,nodev,noexec,relatime)
udev on /dev type devtmpfs (rw,nosuid,relatime,size=1939752k,nr_inodes=484938,mode=755)
devpts on /dev/pts type devpts (rw,nosuid,noexec,relatime,gid=5,mode=620,ptmxmode=000)
tmpfs on /run type tmpfs (rw,nosuid,noexec,relatime,size=392208k,mode=755)
/dev/mapper/ubuntu--vg-root on / type ext4 (rw,relatime,errors=remount-ro,data=ordered)
securityfs on /sys/kernel/security type securityfs (rw,nosuid,nodev,noexec,relatime)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
tmpfs on /run/lock type tmpfs (rw,nosuid,nodev,noexec,relatime,size=5120k)
tmpfs on /sys/fs/cgroup type tmpfs (rw,mode=755)
cgroup on /sys/fs/cgroup/systemd type cgroup (rw,nosuid,nodev,noexec,relatime,xattr,release_agent=/lib/systemd/systemd-cgroups-agent,name=systemd)
pstore on /sys/fs/pstore type pstore (rw,nosuid,nodev,noexec,relatime)
efivarfs on /sys/firmware/efi/efivars type efivarfs (rw,nosuid,nodev,noexec,relatime)
cgroup on /sys/fs/cgroup/perf_event type cgroup (rw,nosuid,nodev,noexec,relatime,perf_event,release_agent=/run/cgmanager/agents/cgm-release-agent.perf_event)
cgroup on /sys/fs/cgroup/net_cls,net_prio type cgroup (rw,nosuid,nodev,noexec,relatime,net_cls,net_prio)
cgroup on /sys/fs/cgroup/cpu,cpuacct type cgroup (rw,nosuid,nodev,noexec,relatime,cpu,cpuacct)
cgroup on /sys/fs/cgroup/hugetlb type cgroup (rw,nosuid,nodev,noexec,relatime,hugetlb,release_agent=/run/cgmanager/agents/cgm-release-agent.hugetlb)
cgroup on /sys/fs/cgroup/memory type cgroup (rw,nosuid,nodev,noexec,relatime,memory)
cgroup on /sys/fs/cgroup/blkio type cgroup (rw,nosuid,nodev,noexec,relatime,blkio)
cgroup on /sys/fs/cgroup/freezer type cgroup (rw,nosuid,nodev,noexec,relatime,freezer)
cgroup on /sys/fs/cgroup/pids type cgroup (rw,nosuid,nodev,noexec,relatime,pids,release_agent=/run/cgmanager/agents/cgm-release-agent.pids)
cgroup on /sys/fs/cgroup/devices type cgroup (rw,nosuid,nodev,noexec,relatime,devices)
cgroup on /sys/fs/cgroup/cpuset type cgroup (rw,nosuid,nodev,noexec,relatime,cpuset,clone_children)
systemd-1 on /proc/sys/fs/binfmt_misc type autofs (rw,relatime,fd=30,pgrp=1,timeout=0,minproto=5,maxproto=5,direct)
hugetlbfs on /dev/hugepages type hugetlbfs (rw,relatime)
mqueue on /dev/mqueue type mqueue (rw,relatime)
debugfs on /sys/kernel/debug type debugfs (rw,relatime)
fusectl on /sys/fs/fuse/connections type fusectl (rw,relatime)
/dev/sda2 on /boot type ext2 (rw,relatime,block_validity,barrier,user_xattr,acl)
/dev/sda1 on /boot/efi type vfat (rw,relatime,fmask=0022,dmask=0022,codepage=437,iocharset=iso8859-1,shortname=mixed,errors=remount-ro)
binfmt_misc on /proc/sys/fs/binfmt_misc type binfmt_misc (rw,relatime)
cgmfs on /run/cgmanager/fs type tmpfs (rw,relatime,size=100k,mode=755)
/dev/mapper/ubuntu--vg-root on /var/lib/docker/aufs type ext4 (rw,relatime,errors=remount-ro,data=ordered)
//192.168.1.50/Disque on /media/jarodd/nas type cifs (rw,relatime,vers=1.0,cache=strict,username=Samba,domain=DISKSTATION,uid=1000,forceuid,gid=1000,forcegid,addr=192.168.1.50,unix,posixpaths,serverino,mapposix,acl,rsize=1048576,wsize=1048576,actimeo=1,_netdev)
tmpfs on /run/user/1000 type tmpfs (rw,nosuid,nodev,relatime,size=392208k,mode=700,uid=1000,gid=1000)
gvfsd-fuse on /run/user/1000/gvfs type fuse.gvfsd-fuse (rw,nosuid,nodev,relatime,user_id=1000,group_id=1000)

Donc ça peut fonctionner avec un Synology alors ?

Il faut que je mette quel système de fichiers ? ext4 ça conviendrait ?

[Jarodd]

Hello,

Petit retour d'XP, rapide car c'est un échec

Je n'ai pas réussi à lancer une sauvegarde complète avec Duplicity. Au bout de x temps (1h ?) je tombe sur un message d'inactivité "attempt #1, reason: error: [Errno 104] Connection reset by peer", jusqu'à #5. Sauf que ça dure plusieurs heures pour la sauvegarde initiale, il y a des moents où je ne suispas devant le pc, et je ne parviens pas à en faire la totalité. A moins de ne pasmanger ou dormir, pas moyen de le faire...

[L33thium]

si tu a une connexion type adsl avec débit d'upload faible, je te conseil de faire une sauvegarde locale, puis avec une autre tache, synchroniser le dossier avec le serveur distant (genre avec rsync)

[Jarodd]

Je suis fibré, théoriquement à 1 Gbps.

Mais la sauvegarde se fait en local, avec le DD branché en USB, donc je ne vois pas le rapport ?

J'ai réussi à rester devant le pc et j'ai eu d'autres erreurs, dont une indiquant que le fichier n'était disponible qu'en lecture seule (le fichier chiffré qui est créé sur le disque dur). Perso je trouve que Duplicity n'est pas un bon programme, trop d'erreurs différentes.

[L33thium]

vérifie l'etat de ton disque dur externe, duplicity utilise rsync très sensible aux erreurs disque.

(le SMART retourne pas toujours un resultat reel, tu peux le tester avec badblocks)

[Jarodd]

C'est-à-dire l'état ? Le disque est neuf, branché en USB3, toujours connecté pendant le backup.