这是 rsyncrypto 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
rsynccrypto - rsync 友好的加密
概要
同步加密 [选项] 源文件 文件 密钥文件 键
同步加密 [选项] -r 源目录 目录 键目录 键
商品描述
本手册页记录了 同步加密 命令。
同步加密 是一种以某种方式加密文件(或目录结构)的实用程序
确保对纯文本文件的本地更改将导致对纯文本文件的本地更改
密文文件。 这反过来又确保了 rsync的 同步加密
文件到另一台机器只会有很小的影响 rsync的的效率。
同步加密 将使用对称分组密码 (AES) 加密文件。 每个文件都经过加密
使用唯一键。 文件密钥存储在两个位置。 一个是“键" 文件,和
第二个是在加密文件本身内。 第二个副本使用 RSA 加密
公钥,可以为所有加密文件共享。
解密文件可以采用以下两种形式之一:
温暖 解密
密钥文件 用于解密 源文件 成 文件.
冷 解密
If 密钥文件 迷路了 键 是 私立 RSA 加密的密钥,提取和
创建信息图 密钥文件 从加密的 源文件,并同时创建 密钥文件 和 文件.
如果两者 密钥文件 并且私钥不可用,无法进行解密。
通常,这意味着您要么希望将加密文件传输到
无论哪种方式(安全或不安全,但可能 rsync的 :),并保留纯文本文件,如
以及密钥文件,安全。 只要你保存了RSA私钥,就可以
重建它们。
有无库存
参数的含义取决于是否存在 -r 和 -d 标志。
源文件 or 源目录
这是操作的来源。 这将是纯文本文件
加密,以及用于解密的密文文件。 如果 -r 给出了选项,
源目录 是要加密/解密文件的目录。 除此以外,
源文件 是要加密/解密的文件。 任何状况之下, SRC 必须存在于
运行 同步加密.
文件 or 目录
像 SRC,这是操作的目的地。 这将是纯文本
要创建如果 -d 已给出,否则加密文件。
密钥文件 or 键目录
保存用于加密的对称密钥的文件,或其中的目录
对称密钥文件驻留。 如果是后者,密钥文件将与
纯文本文件。
键 此文件可以是持有公钥的 X509 证书,也可以是 PEM 格式
私钥。 除非需要冷解密,否则永远不需要私钥。
查看 REQ(1)或 x509(1) 手册页了解更多信息。
If DST 不存在,它将被创建。 要创建它的目录必须
在运行之前存在 同步加密.
如果加密,并且找到文件的对称密钥,则将使用相同的参数
对于加密,除非 --fr or --fk 选项被使用。 如果是这样,关键是
文件将被替换为正确的参数。
配置
这些程序遵循通常的 GNU 命令行语法,长选项以
两个破折号 (`-')。
-h, - 帮帮我
显示选项摘要。
-V, - 版
打印出当前版本号。
-d, --解密
解码 SRC 成 DST. 默认行为是加密 SRC 成 DST,并创建
密钥文件 如果它不存在。
-r, --递归
递归加密/解密整个目录结构。 下的所有文件 源目录
将被加密为相同名称和路径的文件(几乎,参见 - 修剪)在
目录. 如果尚未存在,将为下的每个文件创建一个密钥文件
键目录.
--文件列表
第一个参数是一个指向文件的指针(或“-”代表标准输入),它有一个列表
要处理的文件。 任何以“/”结尾的名称都被视为
递归模式,任何其他名称都是文件名。 第二个论点是
文件被加密到的目录。 --filelist 和 -r 是相互的
排斥。
-c, --改变了
在之前检查 src 和目标修改时间(请参阅 --modify-window)
执行操作。 如果修改时间相同,则假设文件
也一样,略过操作。 请注意,不像 rsync的, 文件大小为
没有比较。 这是因为文件大小预计会在
加密(进而解密)操作。
--有风险的写入
通常,当 rsynccrypto 写入文件时,它使用临时名称并移动文件
成功完成后到其最终名称。 这有两个目的。 期间
加密,这可以防止在发生以下情况时可能出现的错误安全感
通过防止部分文件出现(和在
更新的情况下,通过保留旧备份)。 这也确保了重新启动
rsynccrypto 将使其能够正确检测操作是否需要
重复。 在解密期间,这可以防止覆盖文件,直到我们确定
我们可以解密它的来源。
这种方法的主要问题是,如果正在写入的文件很大,
文件系统需要有足够的空间来存放它的两个副本
操作。 此外,如果维护硬链接,则默认的 rsynccrypto 行为
将断开链接。
指定 --有风险的写入 使 rsynccrypto 直接覆盖现有文件
使用最终名称。
--修改窗口=NUM
仅适用于 -c 有效。 在比较文件修改时间时,对待
作为相等的修改时间 NUM 相隔几秒。 默认值为零。
当加密文件存储在 FAT 文件系统上时,此选项最有用。
FAT 只能以 2 秒的精度存储修改时间。 这可能会导致
原始文件和加密文件之间的修改时间变化。 在这种情况下,
--修改窗口=1 应该使用。
--导出更改=日志文件
每当加密或删除文件时,将文件名写入 日志文件。 这
允许通过 日志文件 至 rsync的(1) 使用 --包含-来自 rsync 选项。
此选项在以下情况下最有用 同步加密 用于重复加密一个巨大的
目录树,然后使用 rsync 远程同步它。 使用这个
选项允许聚焦 rsync的 仅在那些已知已更改的文件上,
而不是让它将整个文件列表发送到远程机器,使
rsync 操作更快。 需要注意的是 rsync 版本 3 启动实际
文件传输,同时它仍在传输文件列表,使性能
从这个选项中获得的收益不太明显。
将此选项与 rsync 结合使用时,请记住 日志文件 is
在写入之前清零。 这意味着除非至少有一个
对于每个 rsynccrypto 调用完全成功的 rsync 操作,它是
可能有已通过先前调用在磁盘上更改的文件
rsynccrypto,但被后来的调用覆盖,并且没有出现在
最新版本 日志文件. 换句话说,如果 rsynccrypto 运行不止一次
在两次完全成功的 rsync 调用之间,有可能 日志文件
不完整。 使用 VHDL 语言编写 Free Introduction 选项 at 您的 己 风险!
强烈建议您升级到 rsync 版本 3 或更高版本,而不是
依靠这个选项。
-n, --名称-加密=翻译文件
加密文件名。 如果指定了这个选项,这意味着文件名是
也加密。 这是通过将加密文件的名称更改为
随机字符串,并将翻译存储在给定的文件中
范围。 如果在递归模式下工作,此文件也会自动包含在内
在加密中,并被赋予固定名称“filemap”。 这样做是为了
当对称密钥丢失时,文件名的解密是可能的。
--ne-嵌套=NUM
使用 --name-encrypt 选项时,默认情况下所有重整的文件名都是
存储在单个目录中。 加密大型目录树时,这可以
导致相当大的目录。 使用“--ne-nesting”将文件拆分为子文件
目录,根据作为加密文件名一部分的随机位。 “n”
是要嵌套的目录数。
--修剪=NUM
确定从开头开始修剪多少目录级别 源目录 径
在下创建目录时 目录. 默认值为 1。请参阅 “ TRIM OPTION
,了解更多详情。
- 删除
在递归模式下,删除下的文件和目录 目录 那不存在
下 源目录.
--删除键
删除文件时,还要删除它们的对称密钥和文件名映射(如果
适用的)。 当只有 - 删除 使用,对称密钥和文件映射是
保留,以便如果重新创建文件,它将与原始文件同步
文件。 这个选项意味着 - 删除.
-bNUM --密钥位=NUM
指定分组密码的密钥大小。 对于 AES,这些可以是 128、192 或 256。注意
除非 --fr or --fkP 选项 旨在 还 指定的, Free Introduction 将 仅由 影响
档 这 没有 密钥文件 存在。
--noatime=NUM
(仅在某些平台上,尤其是 Linux)。 该平台通常会跟踪
上次访问文件的时间。 自从 同步加密 通常用于备份,
它使用 O_NOATIME 选项打开它加密的文件,这是 Linux 特定的
告诉系统不要更新文件的访问时间的扩展名。 打开时
打开过程不属于文件所有者的文件,尝试打开
带有 O_NOATIME 的文件将导致打开失败并显示“权限被拒绝”。
NUM 可以是以下选项之一: 0 意味着根本不使用 O_NOATIME。 1 (
default) 表示仅在以下情况下尝试使用 O_NOATIME 同步加密 认为不会引起
权限被拒绝错误。 2 意味着始终使用 O_NOATIME。
--无存档模式
不要试图保留时间戳。 此选项不兼容 -c.
--gzip=径
默认情况下, 同步加密 将在加密之前压缩纯文本。 在
为了不因压缩而变得对 rsync 不友好, 同步加密 会搜索
实例的路径 GZIP(1) 支持 --rsyncable 选项。 如果
系统的默认 gzip 不支持此选项(所有 Debian 和衍生产品,如
以及其他一些,支持它),使用此选项告诉 同步加密 使用一个
gzip 的不同实例。 rsynccrypto 源码的tests目录下有一个文件
称为“gzip”,它通过将输入和输出重定向到
猫(1)。
--roll-win=NUM, --滚动分钟=NUM, --滚动灵敏度=NUM
影响滚动块算法。 看 附注.
--fk, --fr
如果命令行或具有不同默认值的版本指定不同的值
这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 - 卷-* 选项或 -b 选项,这些只会影响文件
密钥文件 还不存在。 指定 --fk or --fr 将重新创建 密钥文件 如果它
具有与先前密钥文件中的值不同的值。
-v, --详细
提高详细程度。 指定多次以更详细。
附注
加密 标准输入
If 源文件 指定为“-”,则将从标准输入读取纯文本数据。 这还没有
减压工作(见 BUGS).
--滚动获胜=数, --滚动分钟=数, --滚动灵敏度=数量
这些值会影响一些内部工作 同步加密的决策。 在
特别是,这些会影响 同步加密 决定何时恢复到 IV。
除非您了解自己在做什么,否则不应使用这些选项。 他们是
不危险,因为它们永远不会导致数据丢失。 任何值仍应允许
文件解密。 他们确实有影响 rsync的的效率。
这些选项仅用于在出现安全问题时快速响应
使用它们的默认值。 如果发生这种情况,建议可能会给出新的价值
填写作为解决方法。 在此之前,建议大多数用户保留这些选项
单独。
“ TRIM OPTION
跑步时 同步加密 在递归模式下,目录结构在 源目录 是重新
在以下创建 目录, 从路径中删除一个目录。 换句话说,如果我们
有一个目录结构,它具有:
a/b/c/文件
运行 同步加密 - 源目录 的“a/b”,和 目录 “f”将创建“f/b/c/file”。
- - 修剪 选项让用户说要修剪多少个零件 源目录 创建时
下的目录 目录 和 键目录. 如果,在上面的例子中,我们说 - 修剪= 0然后
“f/a/b/c/file”将被创建。 同样,如果我们说 - 修剪=2 然后 "f/c/file"
将被创建。
给出高于目录部分数的修剪值是错误的
实际上在 源目录. 在上面的例子中, - 修剪=3 会导致错误。
保安
滚动值影响,在一个不完全已知的程度上,有多少信息被“泄露”
介于明文和密文之间。 默认值应该泄漏小于 20
在最坏的情况下,每 8KB 的有关纯文本文件的聚合信息位。
我们希望这些值对于大多数用途来说足够安全。 但是,如果您的
国家的命运危在旦夕,请使用非 rsync 优化的加密,例如提供的加密
by openssl的(1)。
示例 AND 在线课程
在开始使用 rsynccrypto 之前,您需要一个 X509 证书格式的公钥。
生成其中之一的最快方法是使用 openssl的(1) 包装。 生成一个
新的 1536 位 RSA 密钥作为“backup.key”,并存储相应的未加密公钥
在“backup.crt”中,使用以下命令:
openssl req -nodes -newkey rsa:1536 -x509 -keyout backup.key -out backup.crt
您对证书详细信息的回答或何时将其设置为无关紧要
到期。 Rsynccrypto 忽略证书中的所有内容,但实际密钥除外。
要将文件“data”加密为“data.enc”,将文件的特定密钥存储在“data.key”中,
跑:
rsynccrypto 数据 data.enc data.key 备份.crt
在这些示例中使用“backup.crt”的任何地方,也可以使用“backup.key”。
上面也可以将“backup.key”作为最后一个参数。 如果这些例子列出
特别是“backup.key”,则表示“backup.crt” 不能 改为使用。
“data.enc”将被创建。 如果上次运行中存在“data.key”,则新的
创建的“data.enc”将具有相同的对称密钥和其他属性,从而保持
加密的 rsync 友好性。 因此,重要的是提供任何以前的
数据的密钥文件(如果有)。
解密文件的命令行取决于您是否有使用的密钥文件
该文件已加密。 如果这样做,则只能使用公共进行解密
键,使用以下命令:
rsynccrypto -d data.enc data.dec data.key backup.crt
如果密钥文件丢失,必须使用私钥从加密文件中恢复
使用以下命令创建文件:
rsynccrypto -d data.enc data.dec data.key backup.key
“data.key”将由上面的命令创建,以及“data.dec”。
使用 rsynccrypto 加密整个目录是类似的,只是目录名被替换了
上例中的文件名。 将名为“data”的目录的内容加密为
名为“enc”的目录,将对称密钥存储在名为“keys”的目录中,运行
以下命令:
rsynccrypto -r 数据加密密钥备份.crt
和之前一样,如果目录“enc”和“keys”不存在,则会创建它们。
“plain”下的目录结构将在“enc”和“keys”下复制。
即如果“data”下有一个叫“foo”的文件,一个叫“foo”的加密文件
将在“enc”下创建,并在“keys”下创建一个名为“foo”的密钥文件。 在
换句话说,“data/foo”路径的第一部分(表示“data”的部分)是
从路径中删除,这决定了“enc”下的文件名和
“钥匙”。
如果需要不同的修剪,可以使用 --trim 选项。 拥有 rsynccrypto
创建“enc/data/foo”而不是上面的,使用以下命令:
rsynccrypto -r --trim=0 数据加密密钥backup.crt
可以提供 rsynccrypto,而不是从单个目录中获取所有文件
带有要加密的文件和目录列表。 这是使用 --filelist 完成的
选项,像这样:
rsynccrypto --filelist --trim=0 列出加密密钥backup.crt
"enc" 和 "keys" 保留与以前相同的含义。 “list”是一个带有列表的文本文件,一个
每行,要加密的文件。 --trim=0 选项表示如果列表包含一行
说“/home/foo/bar”,它说明了一个文件的名称,然后是一个名为的加密文件
将创建“enc/home/foo/bar”。 没有它,文件将被称为“enc/foo/bar”。
同样,使用--trim=2,文件将被创建为“enc/bar”。
文件名未加密通常是一个问题。 如果是这样,我们可以
要求 rsynccrypto 加密文件名以及实际文件。 Rsynccrypto 没有
实际上加密文件名。 相反,它用随机的替换实际文件名
字符系列。 实际文件名和乱码的映射关系是
存储在映射文件中。
rsynccrypto --name-encrypt=map --trim=0 -r 普通加密密钥backup.crt
这会将“普通”目录结构加密为 enc,与以前完全一样。 不像
之前,所有文件都将直接在“enc”目录下,并将命名为
无意义的乱码。 将在当前目录下创建一个名为“map”的文件
包含文件的山墙和真实名称之间的映射。 另外,两个文件,
也将创建称为“enc/filemap”和“keys/filemap”。 这些是加密的和
与上面提到的“map”文件对应的key文件。 在解密期间,如果“map”确实
不存在,它将通过解密“enc/filemap”来创建。
重要 注意事项: 在执行文件名加密时,提供
在加密和解密期间正确 --trim 值。 不这样做会
导致 rsynccrypto 搜索不存在的文件名,并且无法定位到文件
解密。
使用 onworks.net 服务在线使用 rsynccrypto
