Linux-Magazin Ausgewogen (Vorschau)
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Titelthema<br />
www.linux-magazin.de Duplicity 08/2013<br />
42<br />
Verschlüsselte Cloudbackups mit Duplicity<br />
Datensafe<br />
Wer wertvolle Daten archiviert oder sichert, sollte sich eine Strategie zurechtlegen, die auch deren<br />
Sicherheit berücksichtigt. Die Backupsoftware Duplicity erlaubt das Archivieren verschlüsselter Daten<br />
auf unsicherem Terrain. Kristian Kißling<br />
wie Duply, Backupninja und Dupinanny,<br />
die den Umgang mit Duplicity vereinfachen<br />
wollen [2].<br />
Schlüsselfertig<br />
© Maksim Kabakou, 123RF.com<br />
Duplicity ist das Kommandozeilentool<br />
der Wahl, wenn es darum geht, Backups<br />
in potenziell unsicheren Umgebungen<br />
abzulegen, denn es verschlüsselt Daten<br />
standardmäßig. Chiffriert dürfen Backups<br />
zur Not auch Dritten in die Hände fallen<br />
und sie lassen sich sowohl auf FTP- und<br />
SSH-Servern als auch in den Cloudspeicher<br />
von Amazon (S3) oder Ubuntu (U1)<br />
lagern. Das bringt nicht nur zusätzlich<br />
Redundanz ins Backup, sondern macht<br />
es zugleich weltweit verfügbar.<br />
Duplicity erzeugt nach dem ersten Start<br />
ein vollständiges Backup und speichert<br />
spätere Veränderungen inkrementell in<br />
Form so genannter Volumes. Platzsparende<br />
Hardlinks verweisen dann auf jene<br />
Dateien, die bereits im Vollbackup stecken,<br />
während die inkrementellen Backups<br />
nur noch aus den veränderten Daten<br />
(Deltas) bestehen.<br />
Im Prinzip genügt es also, ein Vollbackup<br />
zu erstellen und von da an alle Änderungen<br />
nur noch inkrementell zu sichern.<br />
Doch davor warnen die Duplicity-Entwickler:<br />
Nicht nur kann ein Fehler in<br />
einem inkrementellen Teil womöglich die<br />
komplette Sicherung ruinieren [1], sondern<br />
das Wiederherstellen von Dateien<br />
nimmt auch recht viel Zeit in Anspruch,<br />
wenn sich die Software durch alle inkrementellen<br />
Backups wühlt.<br />
Für erklärte Mausschubser gibt es mit<br />
Déjà Dup übrigens eine grafische Oberfläche<br />
für Duplicity, die sich sehr einfach<br />
bedienen lässt und viele wesentliche<br />
Funktionen abbildet. Sie ist Teil von<br />
Gnome, steckt zum Beispiel in Distributionen<br />
wie Ubuntu und Fedora, lässt<br />
sich aber auf Systemen ohne grafische<br />
Oberfläche nicht einsetzen. Daneben gibt<br />
es noch zahlreiche Kommandozeilentools<br />
Verfügt der Admin noch nicht über einen<br />
eigenen GPG-Schlüssel oder möchte er<br />
für die Sicherung einen eigenen anlegen,<br />
erzeugt er ihn über »gpg ‐‐gen‐key«<br />
(Abbildung 1). Im Kommentar hinterlässt<br />
er – falls gewünscht – den Zweck des<br />
Schlüssels, die Passphrase benötigt er<br />
später beim Anlegen und Entschlüsseln<br />
eines chiffrierten Backups. Wer will, kann<br />
seine Archive zusätzlich signieren und<br />
dazu über »gpg ‐‐sign‐key Schlüssel‐ID«<br />
eine digitale Signatur erstellen.<br />
Die Passphrase schützt den Schlüssel,<br />
falls er in fremde Hände gerät. Ihn sollte<br />
der Admin ohnehin gut sichern, sonst<br />
kommt er später nicht mehr an seine<br />
Daten. Mitunter hilft es, den öffentlichen<br />
und den geheimen Schlüssel auf einem<br />
externen Medium zu sichern, etwa einem<br />
USB-Stick. Die Befehle »gpg ‐k« beziehungsweise<br />
»gpg ‐K« zeigen den öffentlichen<br />
respektive geheimen Key an. Über<br />
$ gpg ‐‐output /media/user/USB‐Stick/backupU<br />
key_pub.gpg ‐‐armor ‐‐export Schlüssel‐ID<br />
$ gpg ‐‐output /media/user/USB‐Stick/backupU<br />
key_sec.gpg ‐‐armor ‐‐export‐secret‐keys U<br />
Schlüssel‐ID<br />
lassen sich die beiden Schlüssel exportieren.<br />
Über »gpg ‐‐import« spielt der<br />
Schlüsselmeister die Keys auf einem anderen<br />
System wieder ein.<br />
Vier Ziele<br />
Das Skript aus Listing 2 erzeugt nun verschlüsselte<br />
Backups aller Homeverzeichnisse<br />
für vier verschiedene Ziele: ein lo-