по стопам webkill'а » gpg

backup с PGP шифрованием

lukmus — Tue, 23 Mar 2021 18:12:03 +0000

В продолжение постов про GPG и о геме Backup собираю все в одну статью и дополняю настройкой для автоматического шифрования резервных копий.

утилита GPG

Установка, естественно, от пользователя с root-правами.
На RedHat’ах:

yum install pgp

На Debian’ах:

apt-get install pgp

Для создания ключей все та же команда, выполнять которую можно от рядового пользователя.

gpg --gen-key

Далее понадобится экспорт ключей в текстовый файл. В командах ниже username@email, разумеется, надо заменить на почту указанную при генерации.

Экспорт публичного ключа:

gpg --output public.pgp --armor --export username@email

Экспорт закрытого (приватного) ключа:

gpg --output private.pgp --armor --export-secret-key username@email

Если требуется, после экспорта ключей их можно удалить. Сначала удаляется закрытый ключ:

gpg --delete-secret-keys username@email

Затем открытый:

gpg --delete-keys username@email

Вывести список всех импортированных ключей:

gpg --list-keys

gem backup и PGP-ключ

Установка гема:

gem install backup

Cоздание модели (в данном примере модель называется ekzample) для бекапа:

backup generate:model --trigger ekzample
Generated model file: '~/Backup/models/ekzample.rb'.

Далее, для настройки нужного бекапа, следует отредактировать ~/Backup/models/ekzample.rb.

В примере ниже показан конфиг для резервного копирования базы MySQL с последующим сжатием в tar и шифрованием архива PGP-ключом, после чего зашифрованный файл отправляется по SFTP на бекап-сервер.

# encoding: utf-8
 
##
# Backup Generated: ekzample
# Once configured, you can run the backup with the following command:
#
# $ backup perform -t ekzample [-c ]
#
# For more information about Backup's components, see the documentation at:
# http://backup.github.io/backup
#
Model.new(:ekzample, 'Description for ekzample') do
 
  split_into_chunks_of 500
 
  Encryptor::GPG.defaults do |encryption|
    encryption.keys = {}
    encryption.keys['username@email'] = <<-KEY
      -----BEGIN PGP PUBLIC KEY BLOCK-----
      ...it is place for PUBLIC KEY...
      -----END PGP PUBLIC KEY BLOCK----
    KEY
    encryption.recipients = 'username@email'
  end
 
  database MySQL do |db|
    db.name  = 'exampledb'
    db.username = 'exampleuser'
    db.password = 'examplepass'
  end
 
  compress_with Gzip
  encrypt_with GPG
 
  store_with SFTP do |server|
    server.username = 'backupuser'
    server.password = 'backuppass'
    server.ip       = '111.111.111.111'
    server.port     = 22
    server.path     = '~/'
    # Use a number or a Time object to specify how many backups to keep.
    server.keep     = 150
 
    # Additional options for the SSH connection.
    # server.ssh_options = {}
  end
 
end

Не стоит забывать вставить между <<-KEY и KEY созданный ранее ПУБЛИЧНЫЙ (открытый) ключ.

Для более тонкой настройки PGP-ключей, например, разные ключи для разных баз, следует воспользоваться официальной документацией.

Запускается создание бекапа командой:

backup perform -t ekzample

извлечение бекапа

Если в системе нет ключей, используемых данным бекапом, следует их импортировать:

gpg --import private.pgp
gpg --import public.gpg

Далее чтобы расшифровать резервную копию понадобится команда:

gpg -o ekzample.tar -d ekzample.tar.gpg

Для распаковки тарбола подойдет команда:

tar -xvf ekzample.tar

GnuPG в linux

lukmus — Fri, 29 Oct 2010 01:44:07 +0000

Входе переписки с некоторыми персоналиями выяснилось, что они до сих пор не умеют пользоватся GPG, а точнее шифровать файлы.

Большинство разумного человечества и представителей других рас здесь ничего нового не узнает, те же кто не умеет читать инструкции по эксплуатации, подчерпнут здесь основы работы с GPG в консоли.

Прежде всего нужно установить GPG если оно не установлено по умолчанию. Тарболы можно скачать с оффсайта – gnupg.org. Однако, вместо компиляции исходников, некоторые предпочитают пакетные менеджеры.

Linux’ы на основе Red Hat:

yum install pgp

В Debian’ах:

apt-get install pgp

генерация ключей

Прежде всего хочется отметить, что GPG имеет возможность делать как ключи для симметричного шифрования, так и для несимметричного. Разница в том, что в первом случае один ключ подходит как для шифрации, так и для дешифрации, а во-втором открытым ключом можно только шифровать, а закрытым можно расшифровать.

Для нас большую ценность представляет несимметричное шифрование т.к. оно круче.

Итак, генерируем ключи. Под root’ом это делать или нет разницы, ну кроме того что у файлов ключей будут права рутовские или нет.

$ gpg --gen-key
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
Выберите тип ключа:
(1) RSA and RSA (default)
(2) DSA and Elgamal
(3) DSA (только для подписи)
(4) RSA (только для подписи)
Ваш выбор (?-подробнее)?

Здесь я обычно либо ввожу 1, либо оставляю по умолчанию.

ключи RSA могут иметь длину от 1024 до 4096 бит.
Какой размер ключа Вам необходим? (2048)

Здесь чем больше тем лучше, но 2048 тоже круто и достаточно.

Запрашиваемый размер ключа 4096 бит
Выберите срок действия ключа.
0 = без ограничения срока действительности
= срок действительности n дней
w = срок действительности n недель
m = срок действительности n месяцев
y = срок действительности n лет
Ключ действителен до? (0)
Ключ не имеет ограничения срока действительности
Все верно? (y/N) y

Вводим срок действия и подтверждаем введенные данные.

Для идентификации Вашего ключа необходим User ID
Программа создаст его из Вашего имени, комментария и адреса e-mail в виде:
"Baba Yaga (pensioner) "
Ваше настоящее имя: antonio
Email-адрес: antonio@mail.com
Комментарий: fjkgjdg
Вы выбрали следующий User ID:
"antonio (fjkgjdg) "
Сменить (N)Имя, (C)Комментарий, (E)email-адрес или (O)Принять/(Q)Выход? O

Отвечаем на вопросы GPG, честно отвечая на вопросы.

Для защиты секретного ключа необходим пароль.
Необходимо сгенерировать много случайных чисел. Желательно, что бы Вы
выполняли некоторые другие действия (печать на клавиатуре, движения мыши,
обращения к дискам) в процессе генерации; это даст генератору
случайных чисел возможность получить лучшую энтропию.
.............................+++++
....+++++
Необходимо сгенерировать много случайных чисел. Желательно, что бы Вы
выполняли некоторые другие действия (печать на клавиатуре, движения мыши,
обращения к дискам) в процессе генерации; это даст генератору
случайных чисел возможность получить лучшую энтропию.
......+++++
....+++++
gpg: ключ 6A189DDA помечен как абсолютно доверяемый.
открытый и закрытый ключи созданы и подписаны.
gpg: проверка таблицы доверий
gpg: 3 ограниченных необходимо, 1 выполненных необходимо, PGP модель доверия
gpg: глубина: 0  корректных:   1  подписанных:   0  доверия: 0-, 0q, 0n, 0m, 0f, 1u
pub   4096R/6A189DDA 2010-10-28
Отпечаток ключа = 404B 5DD8 79F1 7AD9 7FA7  2B7A 2E1C FEB7 6A18 9DDA
uid                  antonio (fjkgjdg)
sub   4096R/664BC16D 2010-10-28

Вводим пароль и запоминаем его. Когда GPG просит сделать какие-нибудь действия берем мышку в руки и внимательно вырисовываем ей амперсант, затем тильду и букву ‘Ё’.

Теперь проверяем, вывод должен быть примерно такой:

$ gpg --list-keys
/home/your_username/.gnupg/pubring.gpg
---------------------------
pub   4096R/6A189DDA 2010-10-28
uid                  antonio (fjkgjdg)
sub   4096R/664BC16D 2010-10-28

экспорт ключей

После того как ключи сгенерированы, в случае если они вам на долго, то их можно сохранить.

открытый ключ

gpg --export -armor -o pub.asc

Если убрать -armor то ключ экспортируется в бинарном виде.

закрытый ключ

gpg --export-secret-key -armor -o sec.asc

Теперь у вас в текующей директории должно быть 2 файла: sec.asc и pub.asc.

шифрование и дешифрование файлов

шифрование

Для примера я зашифрую файл test.rb:

$ gpg -e test.rb &gt; test.rb.gpg
Не задан User ID. (можете использовать "-r")
Текущие получатели:
Введите User ID.  Пустая строка для завершения: antonio
Текущие получатели:
4096R/664BC16D 2010-10-28 "antonio (fjkgjdg) "

Если не перенаправлять вывод, то содержимое зашифрованного файла выведется на стандартный вывод т.е. экран консоли.

дешифрование

$ gpg -d test.rb.gpg &gt; test222.rb
Необходим пароль для доступа к секретному ключу пользователя: "antonio (fjkgjdg) "
4096-бит RSA ключ, ID 664BC16D, создан 2010-10-28 (главный ключ ID 6A189DDA)
gpg: зашифровано 4096-битным ключом RSA, с ID 664BC16D, созданным 2010-10-28
"antonio (fjkgjdg) "

При расшифровке потребуется пароль, ситуация с перенаправлением вывода такая же как и с шифрованием.

Теперь для того чтобы передать сверхважную информацию (а я уверен что у вас только такая инфа и есть) другу через открытый канал, например icq, необходимо вашему дружку скинуть открытый ключ, который мы предусмотрительно экспортировали в файл pub.asc. Друг у себя на компе зашифрует файл и отправит вам, который вы расшифруете закрытым ключом.

удаление ключей

После того как вы получили необходимый файл от другана и прочитали его, заметаем следы и удаляем ключи.

Сначала нужно удалить секретный ключ, просто потому что иначе GPG не даст это сделать.

$ gpg --delete-secret-keys antonio
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
sec  4096R/6A189DDA 2010-10-28 antonio (fjkgjdg)
Удалить данный ключ из таблицы ключей? (y/N)y
Это секретный ключ! - действительно удалить? (y/N)y

Теперь удаляем открытый ключ:

$ gpg --delete-keys antonio
gpg (GnuPG) 1.4.10; Copyright (C) 2008 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
pub  4096R/6A189DDA 2010-10-28 antonio (fjkgjdg)
Удалить данный ключ из таблицы ключей? (y/N)y

И проверяем, что все удалено:

$ gpg --list-keys
gpg: проверка таблицы доверий
gpg: не найдено абсолютно доверяемых ключей

Видите как все просто, и ни в коем случае не надо передавать закрытый ключ!