Portál AbcLinuxu, 6. května 2025 09:21

Dotaz: Duplicity - sudo a passphrase

10.1.2016 23:11 __blr__
Duplicity - sudo a passphrase
Přečteno: 308×
Odpovědět | Admin
Ahoj,

vygeneroval jsem si gpg klíč (jako root) a nyní používám pro zálohování (uživatel petr) následující:

sudo duplicity --encrypt-key KEY_V_ROOT_SLOZCE /usb/co file:///home/petr/zaloha

Podle návodů co jsem pročítal, by se mě měl ptát duplicity na passphrase, ale neptá se (ani jednou). Je to v pořádku, nebo to dělám špatně? - jde mi primárně o bezpečnost zálohy, kterou bych měl tahat různě po flashkách..

Tím, že jsem klíč generoval já, tak si myslím, že si passphrase někde pamatuje (ultimate trust), což asi není úplně bezpečný

Díky
Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

Jendа avatar 11.1.2016 06:32 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Duplicity - sudo a passphrase
Odpovědět | | Sbalit | Link | Blokovat | Admin
Podle návodů co jsem pročítal, by se mě měl ptát duplicity na passphrase
Duplicity neznám, ale předpokládám, že to prostě zašifruje veřejným klíčem. Ten je tak nějak z definice veřejný, tak proč ho chránit passphrase.
Tím, že jsem klíč generoval já, tak si myslím, že si passphrase někde pamatuje (ultimate trust)
Ne, trust level v GPG znamená, nakolik jsi ověřil, že importovaný klíč skutečně patří tomu člověku, za koho se vydává. S passphrase to nemá nic společného.
11.1.2016 10:10 __blr__
Rozbalit Rozbalit vše Re: Duplicity - sudo a passphrase
Odpovědět | | Sbalit | Link | Blokovat | Admin
Dle informací se šifrují i metadata o souborech. Co jsem dohledal, docela se poslední verze změnily, odpadla rozdílová záloha, místo toho je tam jen plná a inkrementální. Pakliže inkrementální funguje jako u Windowsu (atribut archivovat), tak bych to chápal, ale tuto informaci nemohu nikde najít. Další zmínka je o gpg-agentovi, který by si měl pamatovat passphrase (?), ale to je taky "kostrbatý"...

Nuphar avatar 11.1.2016 14:51 Nuphar | skóre: 19
Rozbalit Rozbalit vše Re: Duplicity - sudo a passphrase
Odpovědět | | Sbalit | Link | Blokovat | Admin

Duplicity používám, ale jinak (ve skriptu):

export PASSPHRASE='XXX'
duplicity incremental --full-if-older-than 1M --volsize 500 --verbosity info $ZDROJ $CIL
unset PASSPHRASE

Nepoužívám k tomu existující klíč, při první synchronizaci se Duplicity zeptá na heslo a pak se na něj ptá při každé záloze. Pokud se dočasně dá do proměnné PASSPHRASE, tak si to Duplicity načte a na heslo se neptá.

Nejsem si jist, ale pokud se něco šifruje veřejným klíčem, tak se GPG na heslo neptá, ne? Jinak by pak člověk nemohl dostat zašifrovaný soubor od někoho jiného, ne?

Per aspera, Asparagus et Aspergillus ad a/Astra!
11.1.2016 15:11 __blr__
Rozbalit Rozbalit vše Re: Duplicity - sudo a passphrase
Vy nepoužíváte GPG, proto se ptá na heslo.

Zeptám se tedy jinak - jakým způsobem, při inkrementální záloze, zjistí, co má archivovat? Potřebuje k tomu (šifrovaný) archiv s již zazálohovanými soubory?
Nuphar avatar 11.1.2016 15:23 Nuphar | skóre: 19
Rozbalit Rozbalit vše Re: Duplicity - sudo a passphrase
Duplicity Má 1) archivy s plnou zálohou, 2) indexy a 3) rozdílové archivy (inkrementální zálohy). Rozumím-li tomu správně, Duplicity se podívá do těch indexů a podle toho se rozhodne (jsou šifrované, takže se musí odemknout). Když se dělá plná záloha, tak není potřeba nic odemykat (a s veřejným klíčem se neptá na heslo). Nicméně se v tomto tématu necítím jako velký expert, mohu se mýlit.
Per aspera, Asparagus et Aspergillus ad a/Astra!
11.1.2016 15:49 __blr__
Rozbalit Rozbalit vše Re: Duplicity - sudo a passphrase
Tak, a já jsem píšu z toho důvodu, že bez problému dělám inkrementální zálohy bez toho, abych zadával passphrase pro GPG, což mi je divné...
11.1.2016 15:54 __blr__
Rozbalit Rozbalit vše Re: Duplicity - sudo a passphrase
Vyřešeno - při zálohování si duplicity vytvoří složku .cache/duplicity kde jsou ony "indexy" v nešifrované podobě. Po smazaní těchto indexů jsem požádán o heslo (a potom si to vytvoří zase nešifrované indexy).

Tudíž vyřešeno, díky

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.