透明存取加密后文件并将加密后文件备份至网盘

你是怎么备份自己重要而又敏感的资料的？
藏在自己电脑里？万一电脑坏了。。
拿去修。。陈老师您好
拷贝一份在移动硬盘上？移动硬盘多容易坏多容易被人直接拿去用加密压缩后存起来？每次用都要解压，更新点内容还要再压缩加密一次
直接备份到网盘上？国内网盘的隐私保障。。。只能呵呵了
我知道各个网盘服务商也不愿随便践踏用户的隐私，可大环境么，大家都懂的
还有的会用truecrypt吧，但容器一般较大，不容易增量备份

看看我的解决方案：
在特定目录上使用EncFS文件系统，透明的加密存储到另一个加密文件夹，将加密文件夹内的内容同步备份到百度网盘。

效果：

实时存取解密后文件的文件夹

plain.png

实际保存加密后文件的文件夹

enc.png

百度网盘备份文件夹

baidu.png

我的环境：

Qnap的低端NAS上的嵌入式linux。理论上任何linux或兼容系统皆可。
软件：EncFS，Fuse, SyncY(百度网盘用，可替换)

Step 1: 安装基础工作环境

ipkg install gcc optware-devel make boost-dev boost-filesystem
boost-serialization boost-system openssl openssl-dev
*大部分桌面发行版linux可跳过此步骤，嵌入式linux需已安装optware

Step 2: 下载加密文件系统代码

http://code.google.com/p/rlog/downloads/detail?name=rlog-1.4.tar.gz
http://sourceforge.net/projects/fuse/files/fuse-2.X/2.8.7/fuse-2.9.3.tar.gz
http://encfs.googlecode.com/files/encfs-1.7.4.tgz

Step 3: 编译安装

非嵌入式的linux发行版无需此步骤，用包管理工具安装encfs即可，fuse大部分系统出厂即已安装.

3.1 编译安装rlog

---

tar xvfz rlog-1.4.tar.gz
cd rlog-1.4
./configure --prefix=/opt/local
make
make install

3.2 编译安装fuse

---

tar zxvf fuse-2.9.3.tar
cd fuse-2.9.3
修改两处
lib/mount_util.c 100行
util/mount_util.c 100行
从
execl("/bin/mount", "/bin/mount", "--no-canonicalize", "-i",
改为
execl("/bin/mount", "/bin/mount", "-i",
./configure --prefix=/opt/local
make
make install

3.3 编译安装encfs

---

tar xvfz encfs-1.7.4.tar
cd encfs-1.7.4
将encfs目录下encfs.cpp中547行从
int res = lutimes( cyName.c_str(), tv);
改为
int res = utimes( cyName.c_str(), tv);
./configure CFLAGS='-O1' CXXFLAGS='-O1' --prefix=/opt/local CPPFLAGS=-I/opt/local/include LDFLAGS=-L/opt/local/lib
make
make install

Step 4: 初始化加密目录

/opt/local/bin/encfs /pathtoenc /pathtoplain
第一个目录为实际加密数据存放目录，第二个目录为透明访问数据的目录
第一次运行此命令后选择默认配置后要求输入加密密码，此密码为唯一可解密数据的方法，丢失或遗忘将没有任何办法可以取回
可以试一下效果：echo 'test content' > /pathtoplain/text
ls -la /pathtoenc
目录下有两个文件，一个是xml配置文件，另一个就是text加密后的内容了cat Xds.Dwefxiiksdf (实际名字会不同)

卸下加密文件夹
umount /pathtoplain
这时再看pathtoplain里的内容就什么也没有了

再次挂载/opt/local/bin/encfs /pathtoenc /pathtoplain
要求输入密码，正确输入后在查看pathtoplain，原来的文件就可以访问了

如果encfs执行失败，提示 what(): locale::facet::_S_create_c_locale name not valid
在执行之前先运行：export LC_ALL="C"
同步至网盘我用的是百度网盘，其他网盘请使用相应的同步工具
网上有大善人写了可以在各种系统上运行的百度网盘同步脚本，我用的是python版本
请自行下载， SyncY
使用及配置请参考作者说明

Step 5: 全自动

根据所使用操作系统，在启动中加入以下命令让加密文件系统随系统启动自动加载
export LC_ALL="C"
echo 'xxxxxxxx' | /opt/local/bin/encfs --public /pathtoenc/ /pathtoplain/ -S
/opt/bin/python /share/homes/admin/SyncY/syncy.py
第一行'export':如果平时执行encfs时不需要这句，则这儿也不需
要第二行:--public的作用是让他人也可读写该目录，如果需要将目录给多人使用则需要，例如在nas上共享该目录
-S 用于从管道接受密码，前面的echo 'xxxx'中的xxxx即是密码。这里的密码是明文。
我认为明文也无所谓，毕竟能访问到这个机器的只有自己；如果对安全性要求实在比较高，那可以按需手动加载并输入密码
第三行: 在加密文件夹挂载后运行同步软件。在同步软件中配置将加密后目录同步至网盘

已知问题：
向加密文件夹中写入体积较大文件时，会有迟滞，具体程度取决于CPU计算能力；读取时较快，基本做到透明使用
用于网络共享文件使用时，有时会发生复制移动失败，但刷新文件夹后查看内容，其实已经完成
用umount命令卸载加密文件夹时有时会提示错误，但实际已经正常卸载

原创文章，转载请表明出处，谢谢

2014-11-26 16:46

2015-04-16搬迁至简书