Нужно создать шифрованный диск для бэкапа. (Никто не покушается на данные, но паранойя)) Во всех статьях пишут, что сначала требуется создать раздел, а после зашифровать его. Где-то встречал, что таблица разделов должна быть GPT. Но что мешает зашифровать весь диск сразу, минуя разбивку? Это работает, проверял, но какие подводные? Всем благодарен, с меня, как обычно.

• Шифрование разделов LUKS,Аноним, 12:58 , 03-Сен-23
  • Шифрование разделов LUKS,Аноним, 13:09 , 03-Сен-23
    • Шифрование разделов LUKS,sheff.artx, 13:40 , 03-Сен-23
      • Шифрование разделов LUKS,Аноним, 16:17 , 03-Сен-23
• Шифрование разделов LUKS,Аноним, 09:28 , 09-Сен-23
• Шифрование бекапов на ISO,Аноним, 15:57 , 09-Сен-23
  • Шифрование бекапов на ISO,ACCA, 06:47 , 12-Сен-23
    • Шифрование бекапов на ISO,Аноним, 10:54 , 12-Сен-23
• Полнодисковое шифрование,Аноним, 08:28 , 18-Сен-23
• Шифрование разделов LUKS,Аноним, 14:49 , 20-Сен-23
• Шифрование разделов LUKS,депрессивныйникто, 17:19 , 01-Мрт-25

https://wiki.archlinux.org/title/Dm-crypt/Encrypting_an_enti...

Если правильно понял вводные, то недостатки такие:
* нужно помнить фиксированные настройки шифрования.
* systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без разницы.
* один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно иметь несколько разных ключей: для автоматического монтирования службами целевых систем (на их ФС) и для ручного расшифрования (в голове);

А в чем проблема сделать раздел на весь бэкап-диск, а потом его весь зашифровать?

> Если правильно понял вводные, то недостатки такие:
> * нужно помнить фиксированные настройки шифрования.
> * systemd не сможет автоматически смонтировать корневой раздел. Для бэкап-диска - без
> разницы.
> * один ключ шифрования, нельзя использовать слоты. Для бэкап-диска может быть удобно
> иметь несколько разных ключей: для автоматического монтирования службами целевых систем
> (на их ФС) и для ручного расшифрования (в голове);
> А в чем проблема сделать раздел на весь бэкап-диск, а потом его
> весь зашифровать?

Спасибо за ответ и, как я понял особой разницы нет, т.к. автоматического монтирования не предвидится и монтирую руками и только я.

> монтирую руками и только я

Я по-началу тоже так предполагал. Но бэкапы - такая штука, которую очень желательно делать часто, а значит это должно быть легко и удобно. Иначе быстро надоедает, появляются задержки между бэкапами и риск потери свежих данных растет. К тому же, риск раскрыть пароль при вводе с клавиатуры обычным пользователем значительно выше, чем при монтировании ключом, который видит только суперпользователь с также шифрованной ФС с ОС. К тому же, если для доступа к диску используется несколько устройств с разными ключами, можно легко сменить/удалить ключ только для скомпрометированного устройства.
Ну и, наконец, возможность перешифровать диск с новыми настройками налету. Например, при устаревании (вычислительной сложности) или компрометации алгоритмов шифрования. Или просто под новый процессор, который имеет инструкции/модуль для более быстрой работы с каким-то конкретным шифром.
Короче, заголовки LUKS - это очень гибко и удобно.

> особой разницы нет

Есть ещё похожий, но более гибкий вариант: хранить заголовки LUKS на отдельном от диска устройстве. Диск будет а-ля plain-dmcrypt, но заголовки, например, на флэшке, позволят легко менять настройки/ключи шифрования. Цена: потеря данных при потере флэшки.
Подробнее:
https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encryp...

Если для бэкапа используется выделенный диск ЦЕЛИКОМ, то разбивать его на разделы не требуется, можно шифровать диск целиком без разбивки.

Бекапить на съёмный, шифрованный, жесткий диск, это хорошо.

Придерживаюсь мнения, что необходимо держать бекапы на DVD/BD (-R), лучше M-DISK.

Скрипт для бекапа, создает ISO для записи:
https://www.linux.org.ru/forum/admin/15041201?cid=15051206
https://www.linux.org.ru/forum/admin/15041201?cid=15051243
https://www.linux.org.ru/forum/admin/15041201?cid=15052218

Можно добавить упаковку и шифрование перед созданием ISO.

Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?

Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.

> Согласен. Возникает вопрос - а кому и как раздать ключи шифрования?

В случае использования шифрования LUKS есть возможность установки нескольких паролей для разных людей.

> Ну, на случай если тебя совершенно случайно убил упавший самолёт, в которого попал пролетавший метеорит.

В случае шифрованых ISO на DVD/BD дисках, делать надо несколько версий, зашифрованных для разных людей и раздать бекапы им для хранения. Как вариант, можно dd и LUKS раздел в файл записать и на ISO закатать.

Это для фирм хорошо подходит. Хотя большинство просит не шифровать, а просто хранит бекапы в сейфе. Не любят у нас шифрование.

Ссылка на пример полнодискового шифрования для ноута: https://www.opennet.me/openforum/vsluhforumID3/131450.html#223

Часто используют связку LUKS -> LVM. Сначала шифруют физичский диск и уже его разбивают на логические разделы с помощью LVM.
GRUB поддерживает загрузку с /boot на LVM разделе, который в свою очередь размещён в разделе LUKS.

> Нужно создать шифрованный диск для бэкапа.
> Но что мешает зашифровать весь диск сразу, минуя разбивку? Это работает,
> проверял, но какие подводные? Всем благодарен, с меня, как обычно.

Шифруя диск полностью вы лишаетесь дополнительной надежности которую дает файловая система.
Диск с багованным контроллером или битым сектором\ячейкой может записать 1 вместо 0, и вы об этом не узнаете или узнаете когда будет поздно.

В бэкапе важна надежность хранения.
zfs например сможет проверять четность\хеш блоков и писать данные с резервом на случай повреждений диска.

Диск шифруют полностью когда нужно скрыть что на нем что-то есть от не сильно заинтересованных но имеющих возможность вам нагадить людей.
На ваши данные не покушаются, значит надежность важней.

Делайте обычный контейнер LUKS без скрытия заголовков, и работайте с ним.