Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[sauvegarde] Sauvegardes chiffrées sur espace de stockage en ligne

Sephiria

Bonsoir à tous,

Je souhaiterais faire des sauvegardes de mon home sur un espace de stockage en ligne (chez un hébergeur comme 1&1 ou autre) et je voudrais qu'elles soient chiffrées. J'ai trouvé une première solution à base de duplicity et rsync qui me semble pas mal : https://blog.rom1v.com/2013/08/duplicity-des-backups-incrementaux-chiffres/ . Déjà, qu'en pensez-vous ?

Je me demandais s'il y avait un moyen d'utiliser par exemple ecryptfs avec l'espace de stockage en ligne. Cet espace de stockage serait chiffré et on le monterait en local dans un répertoire où il serait déchiffré à la volée. Ca permettrait d'écrire directement en local dans le répertoire en clair et ça serait envoyé ensuite (de manière auto ou manuelle) sur l'espace de stockage en chiffré. Si j'ai bien compris, pour la partie déchiffrement à la volée, c'est ce que fait ecrypfs avec mon home lorsque je démarre et que je me loggue non ?

Sinon existe-t-il des espace de stockage en ligne qui permette le rsync ? Parce que j'ai l'impression que pour la plupart, il faut utiliser leur client...

Si vous pouviez m'éclairer et/ou me corriger, ce serait fort aimable. 🙂
En vous remerciant par avance !

Zakhar

Personnellement je fais ça avec Hubic et encfs.

Voici mon script de montage:

$ cat ~/Scripts/hubic_connect
#! /bin/sh
if ! mount | grep -q hubicfuse; then
    [ -d /tmp/hub ] || mkdir /tmp/hub
    hubicfuse /tmp/hub  -o noauto_cache,sync_read
fi
if ! mount | grep -q encfs; then
    [ -d /tmp/secure ] || mkdir /tmp/secure
    ENCFS6_CONFIG=~/path/.encfs6.xml encfs /tmp/hub/default/Documents/ /tmp/secure/
fi

La première partie monte le partage distant avec hubicfuse sur /tmp/hub (qui est créé s'il n'existait pas).
Si tu as un hébergeur classique avec un accès ftp, tu peux bien sûr remplacer par un curlftpfs

La seconde partie monte par dessus le montage ci-dessus la couche d'encryption avec encfs.
Bien sûr, d'un point de vue sécurité, le fichier de paramétrage de encfs doit rester local (il faut donc en avoir des sauvegardes sur des supports externes, ou distants sur un AUTRE fournisseur !) pour éviter de faciliter une éventuelle tentative de crack par brute force sur le serveur.
Le premier paramètre passé à encfs est le chemin du montage distant. Sur Hubic je pose mes fichiers dans /default/Documents/, à adapter si on a un ftp avec un autre chemin.

En définitive, le répertoire /tmp/secure montre des fichiers "en clair".
On peut lire ces fichiers en clair (le déchiffrement est fait en local par encfs, le serveur, lui ne stocke que des fichiers chiffrés).

On peut écrire de nouveaux fichiers (en clair) dans ce montage. Ils seront alors chiffrés par encfs, et le résultat chiffré sera écrit sur le serveur.

Ce type de double montage est adapté pour un nombre important de "petits" fichiers qui changent peu, et avec parfois des rajouts.
Exemple typique : votre collection de photos personnelles.

Pour d'autres usages, par exemple la sauvegarde intégrale du PC de ma mère (avec fsarchiver ~5Go), je fais "plus simple" en chiffrant simplement cette sauvegarde et en uploadant le fichier chiffré. En l'occurrence c'est un fichier unique, et s'il faut restaurer, il faut le récupérer (download) le déchiffrer, et faire un restore avec fsarchiver. Dans ce cas d'usage, le double montage n'apporte pas d'avantage puisqu'il s'agit d'un gros fichier unique qui est à 100% différent à chaque sauvegarde !

Sephiria

Je te remercie pour ta réponse. Cela fait un moment que j'essaie de l'appliquer mais j'ai des soucis avec hubic... Je ne peux pas ajouter d'application développeur sur mon compte hubic. Pourtant tous les tutos passent par cette étape mais moi pas moyen. Quand je crée l'appli "localhost" avec le domaine "http://localhost/", ça me dit que le nom de domaine est déjà utilisé alors que j'ai aucune appli... J'ai essayé avec d'autres domaine et pareil. J'ai envoyé un mail au support hubic et j'attends encore la réponse. Je pense que c'est un bug de leur côté. C'est dommage pcq c'est un moyen simple et efficace pour les backups. Je retiendrai au courant de l'avancée.

EDIT : je crois que j'ai localisé le pb, hubic a l'air tatillon avec les noms d'applications... Un petit "mon_home" avec "http://localhost/" passe bien !

jlmas

S'il s'agit de faire des sauvegardes depuis ton poste de travail, deja-dup l'outil intégré à Ubuntu fait déjà tout ça et il chiffre les données.

Sephiria

Hello,

Je reviens après plusieurs essais.

Pour deja-dup, je n'ai pas trouvé de chiffrement intégré, ni même de sauvegarde incrémentale ou différentielle.
Côté système de fichiers chiffrés, j'ai essayé encfs et cryfs, le second est encore plus facile à utiliser que le premier (pour lequel j'avais des problèmes de droits) mais malheureusement pour faire des sauvegardes online, c'est très très lent.
J'ai ensuite trouvé un outils très très bien qui permet de faire des sauvegardes différentielles et avec chiffrement : dar

Par contre j'ai un petit souci avec hubic : je monte mon répertoire avec hubicfuse dans /media/moi/HDD1/hubic qui est sur disque dur interne HDD1 différent de mon disque principal (celui sur qui il y a / et /home). Néanmoins, quand je copie (avec un cp) dans ce répertoire hubic, je vois mon espace sur / diminuer et la taille de ma sauvegarde étant bien supérieur à l'espace restant sur /, ça finit par planter en me disant qu'il n'y a plus d'espace sur /... C'est embêtant car j'ai ajouté un HDD exprès comme point de montage de hubic afin de palier au manque de place à la racine mais ça ne fonctionne pas. Est-ce que vous savez pourquoi car je ne comprends pas ?

Zakhar

Oui... hubicfuse est une implémentation fuse très "naïve".

Pour une sauvegarde (écriture vers hubic), le driver va copier tout le fichier à sauvegarder localement, puis quand il reçoit le "close" il fait la sauvegarde intégrale du fichier vers hubic. Une fois celle-ci faite, le fichier local temporaire est effacé.
C'est pourquoi tu constates une diminution de ton espace local.

Ce n'est donc pas du tout adapté pour une sauvegarde de gros fichiers, et la raison pour laquelle j'expliquais que je l'utilise avec encfs lorsque je sauvegarde mes photos (quelques méga chacune)

Par contre pour la sauvegarde de "gros fichiers", par exemple chez ma mère, je fais une sauvegarde "en bloc" des filesystems avec fsarchiver, cela donne un fichier d'environ 5Go. Ensuite je découpe ce fichier en blocs "raisonnables" de 200Mo, tout simplement avec split, et j'utilise tout bêtement le navigateur pour uploader chacun des fichiers de 200Mo.

En réalité, hubicfuse est tellement "naïf" que son usage pour des fichiers plus gros que quelques mégas n'est pas recommandé !

Après, c'est sûr qu'en ADSL la sauvegarde est très très longue !..
Avec une "bonne" ligne ADSL tu as 1Mbps d'upload, ce qui mathématiquement donne 2h30 pour sauvegarder 1Go à plein régime de ta ligne.

La "lenteur" est donc normale si tu as de gros fichiers. Et c'est pourquoi chez ma mère je découpe le fichiers de 5Go en blocs de 200Mo, parce que 200Mo ça met 30 minutes. Donc si un bloc "plante" au lieu de tout recommencer, je n'ai que 30m de plus.

metalux

Sephiria a écritCet espace de stockage serait chiffré et on le monterait en local dans un répertoire où il serait déchiffré à la volée. Ca permettrait d'écrire directement en local dans le répertoire en clair et ça serait envoyé ensuite (de manière auto ou manuelle) sur l'espace de stockage en chiffré.

Il existe des outils tout simple prévus pour la sauvegarde sur le cloud comme Cryptomator ou Duplicati pour ceux qui ne veulent pas s'embêter avec la ligne de commande.

Zakhar

C'est très bien Metalux... mais hubicfuse + encfs permet davantage : réutiliser les photos de sa sauvegarde sans avoir à les télécharger en premier. Du "streaming" en quelque sorte !

Après pour les sauvegardes que je fais pour ma mère, ce n'est pas l'usage, puisque si j'en ai besoin je dois commencer par récupérer la sauvegarde. Donc dans ce cas, les logiciels que tu cites sont adaptés.

C'est donc comme j'explique ci-dessus, il faut d'abord commencer par bien définir ce qu'on veut faire pour aboutir à la solution adéquate.

Ou dit dans l'autre sens, il n'y pas "une meilleure solution"... ça dépend en réalité des cas d'usage !

Sephiria

Salut tous les deux,
merci pour l'explication, je comprends mieux le pourquoi du comment. Avec les systèmes de fichiers chiffrés, quand je disais que c'était lent, en fait je parlais même pas de la lenteur de la ligne adsl, je parlais de la lenteur par rapport à un upload normal. En gros là où j'upload habituellement à 6Mbps, avec crypfs ou encfs j'étais à 150Kbps... J'ai d'ailleurs pas trop compris pourquoi mais bon.

Effectivement pour hubicfuse alors je vais découper les fichiers (<4Go sinon ça passe pas par l'interface web hubic), dar le permet.

Je vais me pencher un coup sur tes outils metalux car ça m'intéresse.

Zakhar

Effectivement : gros fichiers de sauvegarde (genre tar, rar ou fait avec un outil) la solution encfs n'est pas adaptée !

metalux

Zakhar a écritC'est très bien Metalux... mais hubicfuse + encfs permet davantage : réutiliser les photos de sa sauvegarde sans avoir à les télécharger en premier. Du "streaming" en quelque sorte !

J'ai fais un test avec encfs et cryptomator et un cloud framadrive, je ne vois pas de différences entre les 2 dans le résultat. Les dossiers chiffrés sont présents sur le PC et synchronisés sur le cloud, et en local, ils fonctionnent tous les 2 avec un système de double montage comme tu l'expliques.
Les dossiers chiffrés étant présents en local, il n'y a pas besoin de les télécharger en premier que ce soit avec encfs ou cryptomator.

Zakhar a écritEffectivement : gros fichiers de sauvegarde (genre tar, rar ou fait avec un outil) la solution encfs n'est pas adaptée !

J'utilise personnellement encfs pour chiffrer mes documents sensibles en cas de vol du PC avec pam_mount pour automatiser le montage à l'ouverture de session et je ne me suis jamais aperçu qu'il y avait des limitations avec les gros fichiers, à moins que je n'ai pas compris et que la limitation est liée à hubicfuse que je ne connais pas.