Encrypt data (in German)

Diese Anleitung hilft Ihnen, Daten Ihres Linux-Rechners auf Servern der Universität Wien verschlüsselt zu sichern.

Um die Datensicherheit zu erhöhen, bietet IBM Spectrum Protect die Möglichkeit der Datenverschlüsselung. Standardmäßig wird eine 128 Bit AES-Verschlüsselung eingesetzt, optional können Sie diese auf 256 Bit erhöhen. Eine aktivierte Datenverschlüsselung beeinflusst nicht die Menge an Daten, die zu und von den Backup-Servern übertragen wird.

 Hinweis

Um die Dateien zu verschlüsseln, müssen Sie ein Verschlüsselungspasswort eingeben. Sollte das Passwort verloren gehen, können die verschlüsselten Daten nicht mehr wiederhergestellt werden. Es besteht auch serverseitig keine Möglichkeit, das Passwort auszulesen oder neu zu setzen.

Grundkonfiguration anpassen

So passen Sie die Grundkonfiguration an, um die Verschlüsselung zu aktivieren (mit der Option auf 256 Bit AES-Verschlüsselung):

  1. Wechseln Sie als root-Benutzer*in in das Verzeichnis der Backup-Software und bearbeiten Sie die Datei dsm.sys:
    sudo su -
    cd /opt/tivoli/tsm/client/ba/bin
    vi dsm.sys

  2. Die nötigen Anpassungen sind fett markiert:
    SErvername BACKUPX0
      NOdename A123-RAINER.ZUFALL.UNIVIE.AC.AT
      TCPServeraddress BACKUPX0.UNIVIE.AC.AT
      TCPPort 1500
      ENCRYPTIONType AES256
      ENCRYPTKey prompt 

Die möglichen Werte für den ENCRYPTKey lauten:

  • prompt: Das Verschlüsselungspasswort muss für jeden Backup- sowie Wiederherstellungsvorgang eingegeben werden.
  • save: Das Verschlüsselungspasswort wird lokal und verschlüsselt auf Ihrem Rechner gesichert und muss daher nicht für jeden Backup- sowie Wiederherstellungsvorgang eingegeben werden.
     

 Hinweis

Für ein automatisiertes Backup müssen Sie bei ENCRYPTKey den Wert save setzen. Siehe dazu den folgenden Abschnitt.

ENCRYPTKey für automatisiertes Backup speichern

Um automatisierte Backups via Crontab oder Scheduler nutzen zu können, muss der ENCRYTPKey gesichert werden. Dazu muss der*die root-Benutzer*in oder ein*e andere*r berechtigte*r Benutzer*in das Verschlüsselungspasswort initial beim ersten Backup setzen. Das Passwort wird unter /etc/adsm/TSM.sth gespeichert. Zusätzlich ist die Option PASSWORDAccess generate nötig.

Die nötigen Anpassungen sind fett markiert:

SErvername BACKUPX0
  NOdename A123-RAINER.ZUFALL.UNIVIE.AC.AT
  TCPServeraddress BACKUPX0.UNIVIE.AC.AT
  TCPPort 1500
  PASSWORDAccess generate
  ENCRYPTIONType AES256
  ENCRYPTKey save

Dateien für Verschlüsselung auswählen

Dateien bzw. Ordner müssen explizit für die Verschlüsselung ausgewählt werden. Dazu müssen Sie einen include.encrypt-Eintrag in die dsm.sys-Datei oder in die Include-/Exlude-Liste setzen bzw. einen bestehenden Eintrag anpassen.

Beispiel:

  include.encrypt /home/user/folder/.../*
  include.encrypt /home/user/file1