Wenn es um IT-Sicherheit geht, ist Verschlüsselung das A und O, insbesondere wenn es um Backups sensibler Daten geht. In einer typischen Proxmox-Umgebung könnte man denken, dass man einen Proxmox-Backup-Server (PBS) benötigt, um Backups sicher zu verschlüsseln. Aber hier kommt die Überraschung: Es gibt eine superklasse Möglichkeit, verschlüsselte Backups zu erstellen, ohne dass der PBS im Spiel ist. Und das Ganze läuft direkt über Proxmox, indem wir ein kleines, aber extrem effizientes Tool namens gocryptfs nutzen.
Zunächst erkläre ich Ihnen, was es mit gocryptfs auf sich hat, was gocrypt ist und dann installieren wir gemeinsamt das Tool und verknüpfen es mit einem Samba Share, in meinem Falle die Hetzner StorageBox. Sie haben bestimmt schon von dieser StorageBox gehört. Hetzner bietet ein unschlagbare Preis-Leistung für den Storage in Deutschland. Deshalb habe ich die Box natürlich auch und ich habe sie auch genau so in meinem Proxmox zu laufen.
Achtung
Linux Befehle nicht einfach blind in die Konsole eingeben. Es ist immer zu Prüfen, welche Linux- und Proxmox-Version verwendet werden. Auch ist die Netzwerk-, IP-, Server- und Umgebungskonfiguration ausschlaggebend, ob und wie die hier angegebenen Tipps angewendet werden können. Es sollte sich auch mit jedem Punkt einzeln und intensiv befasst werden. Man kann nicht einfach alles "abarbeiten" und dann läuft es. Proxmox abzusichern braucht Zeit und muss mit äußerster Vorsicht vonstatten gehen. Außerdem ist die Sicherheit von Servern ein dauernder Prozess. Alles einrichten und die Kellertür zuknallen, ist nicht.
Inhalte des Artikels verschlüsseltes Proxmox Backup
Proxmox VE 8 Proxmox BS 3 Profibuch zum Clusteraufbau
Ich habe extra für den Aufbau von Clustern ein Buch geschrieben. Hier ist die Installation von 3 Proxmoxservern, die Installation von VMs, CTs und die Erstellung eines Clusters detailliert mit über 130 Screenshots beschrieben.
Alles in diesem Buch wird über die grafische Benutzeroberfläche (GUI) gelöst, ohne die Shell.
gocryptfs ist eine Verschlüsselungssoftware für Linux, die speziell für die sichere Speicherung von Dateien auf Dateisystemebene entwickelt wurde. Es verwendet eine sogenannte „pass-through“-Verschlüsselung. Diese Methode erlaubt es Ihnen, auf Ihre Dateien zuzugreifen, während sie im Hintergrund automatisch verschlüsselt oder entschlüsselt werden. Jede Datei wird einzeln verschlüsselt, was gocryptfs besonders effizient und für die tägliche Nutzung attraktiv macht.
Wozu brauche ich gocryptfs?
Wenn Sie Ihre Daten auf einem entfernten Speicher wie einer Samba Share oder Hetzner StorageBox sichern, sollten diese unbedingt vor unberechtigtem Zugriff geschützt werden. Gerade wenn es um sensible oder private Informationen geht, bietet gocryptfs hier eine Lösung. Durch die Verschlüsselung Ihrer Dateien wird sichergestellt, dass niemand ohne Ihr Passwort auf die Inhalte zugreifen kann. Selbst wenn jemand Zugriff auf Ihre Daten erhält, sieht er nur verschlüsselte und somit unlesbare Dateien.
Wie funktioniert das?
gocryptfs funktioniert auf einer Dateisystemebene und erstellt zwei Verzeichnisse:
Ein Beispiel: Sie speichern eine Datei in Ihrem entschlüsselten Verzeichnis. Im Hintergrund verschlüsselt gocryptfs diese Datei und speichert sie im verschlüsselten Verzeichnis (z.B. auf Ihrer Samba Share). Wenn Sie die Datei erneut lesen oder bearbeiten wollen, mounten Sie das verschlüsselte Verzeichnis und geben Ihr Passwort ein, damit die Dateien wieder entschlüsselt erscheinen.
Wie sicher ist das?
gocryptfs verwendet die AES-GCM-Verschlüsselung, eine hochsichere Methode, die sogar in Banken und militärischen Anwendungen zum Einsatz kommt. Die Sicherheit Ihrer Daten hängt primär von der Stärke des von Ihnen gewählten Passworts ab. Da jede Datei einzeln verschlüsselt wird, bleibt die Verschlüsselung auch dann effizient, wenn viele Dateien geändert oder hinzugefügt werden.
Was passiert mit meinen Daten, wenn mein PC kaputt geht?
Wenn Ihr PC kaputtgeht, sind Ihre Daten nicht verloren, solange Sie eine Kopie Ihrer verschlüsselten Dateien, beispielsweise auf einer Samba Share, gespeichert haben und Ihr Passwort kennen. Sie können gocryptfs auf jedem anderen Linux-System installieren, das verschlüsselte Verzeichnis mounten und mit Ihrem Passwort wieder auf Ihre Daten zugreifen.
Die Verschlüsselung bleibt bestehen, und Ihre Daten bleiben geschützt. Solange Sie also das Passwort und die verschlüsselten Dateien haben, können Sie immer auf Ihre Informationen zugreifen.
Zusammenfassung
gocryptfs bietet eine sichere, effiziente Möglichkeit, sensible Daten zu verschlüsseln, besonders wenn diese auf entfernten Speichern wie einer Samba Share liegen. Dank der AES-GCM-Verschlüsselung sind Ihre Daten sicher vor fremdem Zugriff, solange Sie Ihr Passwort kennen. Auch bei einem Hardwareausfall können Sie Ihre verschlüsselten Daten auf einem anderen System wiederherstellen.
Kostenlose IT-Sicherheits-Bücher - Information via Newsletter
Bleiben Sie informiert, wann es meine Bücher kostenlos in einer Aktion gibt: Mit meinem Newsletter erfahren Sie viermal im Jahr von Aktionen auf Amazon und anderen Plattformen, bei denen meine IT-Sicherheits-Bücher gratis erhältlich sind. Sie verpassen keine Gelegenheit und erhalten zusätzlich hilfreiche Tipps zur IT-Sicherheit. Der Newsletter ist kostenlos und unverbindlich – einfach abonnieren und profitieren!
Hinweis: Wenn Sie auf den Button klicken, werden Sie zu MailerLite weitergeleitet. Dort werden essentielle Cookies zur Sicherung der Funktion des Newsletterformulares gespeichert. Mit Ihrem Klick erteilen Sie das Einverständnis zur Verwendung dieser Cookies.
Zur AnmeldungWir installieren jetzt gemeinsam gocryptfs. Bitte führen Sie die Schritte so aus, wie hier beschrieben (Proxmox VE 8). Ich habe die Schritte ebenso durchgeführt und es funktioniert. Ich verwende eine Hetzner StorageBox mit 5 TB. Diese Installation ist auf diese Umgebung abgestimmt. Sie benötigen Ihre Zugangsdaten. Wenn Sie einen anderen SMB- oder Samba-Share-Ordner oder einen anderen Server verwenden, müssen Sie die Zugangsdaten entsprechend anpassen.
Als erstes aktualisieren Sie ihren Proxmoxserver:
Dann installieren Sie cifs-utils - falls es nicht auf ihrem System vorhanden sein sollte:
Installieren Sie gocryptfs:
Erstellen Sie die Datei mit den Anmeldedaten zur StorageBox:
Fürgen Sie in die Datei den Username und das Passwort zu der StorageBox ein:
Sorgen Sie dafür, dass nur der root-User Zugriff auf die Datei hat:
Legen Sie den Ordner an, der als Mountpoint für den Storage gilt:
Öffnen Sie die fstab Datei:
Fügen Sie diese Zeile als einzelne Zeile ein:
Testen Sie ob der SMB Share sich bereits mounten lässt, die Ausgabe sollte "storagebox_crypted : successfully mounted" sein:
Initialisieren Sie, wenn der Mount funktioniert hat gocryptfs mit dem Befehl:
gocrypt will, dass ein starkes Passwort vergeben, dass Sie bitte umgehend in einem Tresor wie KeePass abspeichern. Am besten vorher. Wenn Sie das Passwort eingegeben und dann noch einmal bestätigt haben, wird ein Schlüssel erzeugt, der auch angezeigt wird. Speichern Sie diesen durch kopieren auch im KeePass. Dann legt gocrypt einige Konfigurations- und Schlüsseldaten auf dem Storage ab.
Erstellen sie das Unverschlüsselte Verzeichnis:
Legen Sie die Datei zum automatischen ent- und verschlüsseln an und geben Sie einfach in Klartext ihr Passwort von der Initialisierung in die Datei ein:
Sorgen Sie dafür, dass nur root diese Datei verwenden kann:
Informationen, Tipps und Tricks für Proxmox-Einsteiger und Fortgeschrittene - umfassend überarbeitete Ausgabe 4 mit 450 Seiten Proxmox-Wissen
Buch auf AmazonNEU
Öffnen Sie wieder die Datei fstab:
Fügen Sie die folgende Zeile als einzelne Zeile ein:
Testen Sie wieder ob die Mountpoints funktionieren:
storagebox_cryped solle "allready mounted" liefern und StorageBox-NoCrypt sollte "successfully mounted" leifern.
Damit ist das schon mal erledigt und sollte funktionieren, ich habe es genau so noch mal getestet, und bei mir klappts.
Nachdem wir nun die Storagebox erfolgreich eingebunden haben und die verschlüsselte Dateiübertragung funktioniert, ist es an der Zeit, die Einrichtung zu überprüfen. Diese Prüfung ist entscheidend, um sicherzustellen, dass alles wie geplant funktioniert, bevor wir mit weiteren Schritten fortfahren.
Überprüfung der Storagebox
Öffnen Sie Ihre Storagebox in einem FTP-Client wie FileZilla. Verbinden Sie sich mit den Zugangsdaten, die Sie von Ihrem Anbieter erhalten haben. Navigieren Sie anschließend zum Verzeichnis, in dem Sie die verschlüsselte Ablage eingerichtet haben.
Suchen Sie im Verzeichnis nach den beiden Dateien:
Diese Dateien sollten nach der Ausführung des gocryptfs init-Befehls auf dem Server vorhanden sein. Wenn Sie beide Dateien sehen können, bedeutet dies, dass die Verschlüsselung erfolgreich eingerichtet wurde und die Storagebox bereit für den Einsatz ist.
Wenn die oben genannten Dateien vorhanden sind und die Einrichtung überprüft wurde, ist der nächste Schritt das Erstellen eines Backupskripts. Mit diesem Skript können Sie automatisierte Sicherungen Ihrer Konfigurations- und Systemdateien erstellen.
Ich habe in meinem Fall exakt diese Schritte befolgt und kann bestätigen: Diese Anleitung funktioniert. Die Storagebox wurde korrekt eingebunden, die Verschlüsselung mit gocryptfs funktioniert einwandfrei, und das Backupskript läuft wie geplant.
Falls bei Ihnen Fragen oder Probleme auftreten, prüfen Sie die Schritte erneut oder passen Sie die Konfiguration gegebenenfalls an. Die hier beschriebene Anleitung ist getestet und praxiserprobt.
Erstellen Sie mit folgendem Befhel im root Verzeichnis das Backup-Skript:
Backup-Skript und die Erklärung zum Skript
Dieses Skript sichert wichtige System- und Konfigurationsdateien von einem Proxmox-Server und speichert sie in einem Backup-Ordner. Zusätzlich löscht es ältere Backups, die älter als 14 Tage sind.
Das Backup wird im Ordner /mnt/storagebox-nocrypt/pve-configs-backup gespeichert. Der Name des Backup-Ordners enthält die aktuelle Uhrzeit und das Datum, z. B. 17:30:00_2025-01-10-pve-configs-backup. Dadurch werden Backups klar nach Zeitpunkt und Datum getrennt. Falls der Backup-Ordner noch nicht existiert, wird er automatisch erstellt.
Das Skript sichert eine Liste von wichtigen System- und Konfigurationsdateien, z. B. /etc/pve/ für Proxmox-Konfigurationen, /etc/network/interfaces für Netzwerkeinstellungen oder /etc/hostname für den Servernamen. Sogar das Skript selbst wird gesichert.
Ordner wie /mnt/storagebox-crypt und /mnt/storagebox-nocrypt werden ausgeschlossen, damit keine Endlosschleifen entstehen. Für jede Datei in der Liste prüft das Skript, ob sie existiert. Falls ja, wird sie mit dem Befehl rsync kopiert. Dateien, die nicht existieren, werden übersprungen, und eine Warnung wird ausgegeben.
Backups, die älter als 14 Tage sind, werden automatisch gelöscht, um Speicherplatz zu sparen. Sobald das Backup abgeschlossen ist, wird eine Erfolgsmeldung ausgegeben.
Dieses Skript hilft, wichtige Konfigurationsdaten zu sichern und organisiert zu halten. Bei Problemen mit dem Server kann so schnell wiederhergestellt werden.
Achtung: Achtung: Dieses Skript sichert die wichtigsten Konfigurationsdateien. Allerdings lassen sich diese Dateien nicht einfach automatisch zurückspielen. Vielmehr müssen Sie diese Dateien nach einer Installation manuell in den Proxmox-Server einpflegen. Die allerwichtigsten sind: interfaces, sshd_config, fstab und einige weitere. Ohne den Proxmox Backup Server (PBS) muss oft manuell eingegriffen werden, da die Proxmox-Konfigurationsdateien auf dem Proxmox Cluster File System (PMXCFS) liegen und direkt von PVE verwaltet werden. Dieses Vorgehen kommt nach meiner Erfahrung selten vor, erleichtert jedoch das Wiederaufsetzen eines Servers erheblich, wenn doch einmal etwas schiefgeht.
Auch wenn es zusätzlichen administrativen Aufwand bedeutet, die gesicherten Dateien zu durchforsten und manuell wiederherzustellen, sollten Sie sich bewusst machen, wie entscheidend ein solches Backup ist. Der Aufwand, die benötigten Konfigurationsdateien wie interfaces, sshd_config oder fstab einzupflegen, ist vergleichsweise gering im Vergleich zu dem Chaos, das entsteht, wenn überhaupt kein Backup existiert. Stellen Sie sich vor, Sie müssten sämtliche Einstellungen von Grund auf rekonstruieren, ohne eine Grundlage zu haben – das kostet Zeit, Nerven und im schlimmsten Fall auch den Zugriff auf wichtige Dienste. Ein gut durchdachtes Backup, selbst mit manuellem Wiederherstellungsprozess, schützt Sie vor diesen Problemen und ermöglicht es Ihnen, auch in kritischen Situationen schnell und gezielt zu reagieren. Kurz gesagt: Der Aufwand für das Backup und die spätere Wiederherstellung steht in keinem Verhältnis zu dem Schaden, den der Verlust Ihrer Konfigurationsdaten verursachen würde.
Sollten Sie zusätzliche Dienste auf Ihrem Server installiert haben, die spezielle Konfigurationsdateien oder Daten nutzen, dann erweitern Sie die Liste im Backup-Skript entsprechend. Dies ist besonders wichtig, um sicherzustellen, dass alle relevanten Einstellungen und Daten bei einem Ausfall des Servers wiederhergestellt werden können. Vergessen Sie nicht, auch dazugehörige Verzeichnisse oder benutzerdefinierte Konfigurationsdateien einzubeziehen, die oft an weniger offensichtlichen Orten liegen, wie beispielsweise in /etc/<dienstname>/ oder im Home-Verzeichnis von Systembenutzern.
Umgekehrt können Sie Dateien und Ordner, die für Ihre spezifische Umgebung nicht relevant sind, aus dem Backup-Skript entfernen. Das sorgt dafür, dass das Backup übersichtlich bleibt und weniger Speicherplatz beansprucht. Beispielsweise könnten Logs oder temporäre Dateien ausgenommen werden, wenn diese bei einem Restore ohnehin nicht benötigt werden.
Denken Sie daran: Ein individuell angepasstes Backup-Skript ist entscheidend für eine effiziente Wiederherstellung. Jede Umgebung ist anders, und es lohnt sich, die Backup-Liste regelmäßig zu überprüfen und an geänderte Anforderungen anzupassen. Nur so stellen Sie sicher, dass Ihr Backup vollständig und gleichzeitig schlank bleibt, ohne unnötigen Ballast mitzunehmen. Ein gut gepflegtes Backup-Skript spart Ihnen im Ernstfall wertvolle Zeit und Aufwand.
Achtung: Ich erweitere und optimiere das Skript dann und wann. Schauen Sie ab und zu vorbei ob sich was geändert hat. Fügen Sie folgendes Skript in die geöffnete Datei ein:
Machen Sie das Skript ausführbar:
Führen Sie das Skript jetzt aus:
Wenn Sie diese Anleitung genau befolgt haben, sollte das Skript wie vorgesehen funktionieren. Das Backup wird erstellt und sicher verschlüsselt auf der Storagebox abgelegt. Dies stellt sicher, dass Ihre wichtigen Konfigurationsdateien vor unbefugtem Zugriff geschützt und dennoch jederzeit verfügbar sind.
Der nächste Schritt besteht darin, das Skript so einzurichten, dass es automatisch ausgeführt wird. Hier kommt Crontab ins Spiel. Mit Crontab können Sie festlegen, dass das Skript beispielsweise täglich zu einer bestimmten Uhrzeit ausgeführt wird, ohne dass Sie sich darum kümmern müssen. Das sorgt dafür, dass Ihre Backups immer aktuell bleiben, ohne manuellen Aufwand.
Ein weiterer wichtiger Punkt ist die Wiederherstellung von Backups, die mit diesem Skript erstellt wurden. Die gespeicherten Dateien sind einfach zu finden und können bei Bedarf direkt in das entsprechende Verzeichnis zurückkopiert werden. Das sorgt für eine schnelle und unkomplizierte Wiederherstellung im Falle von Problemen oder Systemausfällen.
Zu den Themen Crontab und Wiederherstellung von Backups wird es hier einen weiteren Artikel geben. Außerdem wird ein begleitendes Video veröffentlicht, das diese Schritte noch einmal ausführlich erklärt und visuell darstellt. So können Sie sicherstellen, dass Ihre Daten jederzeit geschützt und wiederherstellbar sind. Bleiben Sie also dran!
Die Ordnernamen können natürlich angepasst werden, müssen sich dann aber auch in der fstab entsprechend umbenannt werden. Dasselbe gilt für die Passwortdatei (.gocryptfspw), wenn diese anders benannt wird, muss auch der Link aus der fstab ensprechend geändert werden.
Ich habe diese Anleitung eben noch einmal ausprobiert. Die funktioniert auf jeden Fall.
Wenn sie die gocryptfs installiert, die Ordner angelegt, die Anleitung befolgt haben und mount -a -vvv meldet, dass ihre Ordner eingehangen wurden, dann gehen sie zu Datacenter -> Storage -> Add und wählen Directory aus. Wenn sie die Ordner nicht umbenannt und nach der Anleitung benannt haben, tragen sie in ID einen Namen ein z.B. HetznerXXTBCrypt und in Directory geben sie den unverschlüsselten Ordner an: /mnt/StorageBox-NoCrypt/.
Haben sie die Ordner anders benannt, geben sie den entsprechenden Ordenernamen an. Dann häkeln sie Enable an und klicken OK. Der Ordner wird als Storage in Proxmox eingehangen und wird im Linken Menü als Festplatte angezeigt. Dann markieren sie den Neuen Storage in der Tabelle im Rechten Fenster und klicken Edit. Hier stellen sie unter Content VZDump backup files ein. Danach können sie Unter Datacenter -> Backup ihre VMs und Container auf diesen Speicher einrichten.
Wenn in diesen unverschlüsselten Ordner nun durch Proxmox VM Backups reingeschrieben werden, werden diese Backups Live von gocrypt verschlüsselt und dann in die StorageBox hochgeladen. Das geht mit allen DAVs. Sie können auch einen normalen Ordner Lokal verwenden um zu verschlüsseln statt einen Hetzner Storage.
Ich erkläre ihnen hier kurz, was diese Zeile in der fstab Datei macht:
//uxxxxxx.your-storagebox.de/backup /mnt/storagebox_crypted cifs credentials=/root/.smblogin,iocharset=utf8,rw,_netdev,uid=0,gid=0,file_mode=0660,dir_mode=0770 0 0
Die angegebene Zeile in der /etc/fstab definiert, wie ein Samba-Share (SMB) in das Dateisystem eingebunden wird. Lassen sie uns die einzelnen Teile der Zeile genauer betrachten:
//uxxxxxx.your-storagebox.de/backup: Dies ist der Pfad zu Ihrem Samba-Share. In diesem Fall verweist es auf den Backup-Ordner Ihrer Hetzner StorageBox, der über das Netzwerk freigegeben ist.
/mnt/storagebox_crypted: Dies ist das lokale Verzeichnis, in das der Samba-Share eingebunden wird. Nach dem Mounten sind die Dateien, die sich auf dem Server befinden, in diesem Verzeichnis zugänglich.
cifs: Dies ist der Typ des Dateisystems. CIFS steht für "Common Internet File System", das Protokoll, mit dem Windows-Freigaben (SMB) über das Netzwerk eingebunden werden.
credentials=/root/.smblogin: Diese Option gibt den Pfad zur Datei an, in der die Anmeldedaten (Benutzername und Passwort) für den Zugriff auf den Samba-Share gespeichert sind. So müssen die Anmeldedaten nicht in der /etc/fstab direkt angegeben werden.
iocharset=utf8: Diese Option legt fest, dass UTF-8 als Zeichensatz verwendet wird, um sicherzustellen, dass Sonderzeichen in Dateinamen korrekt angezeigt werden.
rw: Dies bedeutet, dass das Verzeichnis im Lese-/Schreibmodus eingebunden wird. Sie können also sowohl Dateien lesen als auch auf das Verzeichnis schreiben.
_netdev: Diese Option sorgt dafür, dass das Dateisystem erst dann eingebunden wird, wenn das Netzwerk verfügbar ist. Das ist wichtig, da der Samba-Share über das Netzwerk erreichbar ist.
uid=0,gid=0: Diese Optionen legen fest, dass der Benutzer mit der ID 0 (root) und die Gruppe mit der ID 0 (root) Eigentümer des eingebundenen Verzeichnisses und der darin enthaltenen Dateien sind.
file_mode=0660: Hiermit wird festgelegt, dass Dateien im Verzeichnis Lese- und Schreibrechte für den Besitzer und die Gruppe (660) haben, aber keine Rechte für andere Benutzer.
dir_mode=0770: Dies legt fest, dass Verzeichnisse im Mountpunkt Lese-, Schreib- und Ausführungsrechte (770) für den Besitzer und die Gruppe haben, aber keine Rechte für andere Benutzer.
0 0: Diese letzten zwei Werte bedeuten, dass das Dateisystem nicht auf Fehler überprüft wird und nicht für Backups berücksichtigt wird.
Zusammengefasst bindet diese Zeile einen SMB-Share von einem entfernten Server ein, stellt sicher, dass der Zugriff nur für den Root-Benutzer möglich ist, und verwendet gespeicherte Anmeldeinformationen, um den Zugriff zu ermöglichen.
Ich erkläre ihnen hier kurz, was diese Zeile in der fstab Datei macht:
/mnt/storagebox_crypted /mnt/StorageBox-NoCrypt fuse./usr/bin/gocryptfs rw,nofail,auto,x-systemd.idle-timeout=10,x-systemd.automount,allow_other,quiet,passfile=/root/.gocryptfspw 0 0
Die Zeile, ist eine Eintragung in der /etc/fstab, die festlegt, dass das Dateisystem gocryptfs automatisch gemountet wird. Lassen Sie uns die verschiedenen Teile der Zeile aufschlüsseln:
/mnt/storagebox_crypted: Dies ist das Verzeichnis, das die verschlüsselten Dateien enthält. Hier liegen Ihre verschlüsselten Daten.
/mnt/StorageBox-NoCrypt: Dies ist das Verzeichnis, in dem die entschlüsselten Dateien erscheinen. Sobald Sie gocryptfs verwenden, können Sie hier auf die unverschlüsselten Dateien zugreifen.
fuse./usr/bin/gocryptfs: Hier wird der Dateisystem-Typ angegeben, in diesem Fall ein FUSE-Dateisystem, das durch gocryptfs bereitgestellt wird.
rw: Gibt an, dass das Verzeichnis im Lesen-/Schreibmodus gemountet wird.
nofail: Wenn das Dateisystem aus irgendeinem Grund nicht gemountet werden kann, wird dies keinen Fehler verursachen und das Booten des Systems nicht blockieren.
auto: Das Dateisystem wird automatisch beim Systemstart eingebunden.
x-systemd.idle-timeout=10: Systemd wird das Dateisystem nach 10 Sekunden Inaktivität automatisch aushängen.
x-systemd.automount: Aktiviert die automatische Einbindung durch Systemd, wenn auf das Verzeichnis zugegriffen wird.
allow_other: Dies ermöglicht auch anderen Benutzern auf dem System, auf die Dateien im entschlüsselten Verzeichnis zuzugreifen.
quiet: Verhindert, dass unnötige Protokollmeldungen ausgegeben werden.
passfile=/root/.gocryptfspw: Hier wird die Passwortdatei angegeben, in der das Passwort für die Verschlüsselung gespeichert ist. Diese Datei wird beim Mounten verwendet, um das Passwort automatisch zu übergeben.
0 0: Diese letzten zwei Zahlen legen fest, dass das Dateisystem nicht auf Fehler überprüft und nicht beim Backup berücksichtigt wird.
Zusammengefasst sorgt diese Zeile dafür, dass gocryptfs das verschlüsselte Verzeichnis beim Systemstart automatisch einbindet und die entschlüsselten Dateien unter dem angegebenen Verzeichnis verfügbar macht, ohne dass manuell ein Passwort eingegeben werden muss.
Empfohlener Artikel Proxmox Sichern und Härten
Ich habe einen ausführlichen Artikel zum Thema: Proxmox Sichern und Härten geschrieben und denke, dass der eine oder andere Hinweis für Sie interessant sein könnte, wenn Sie sich mit Proxmox-Virtualisierung auseinadersetzen.
In diesem Video erfahren Sie, wie Sie unter Proxmox VE 8.3.2 verschlüsselte Backups erstellen können – und das ohne den Einsatz eines Proxmox Backup Servers (PBS). Ich zeige Ihnen Schritt für Schritt, wie Sie gocryptfs installieren und konfigurieren, um Ihre Backups sicher zu verschlüsseln. Zudem richte ich die Umgebung entsprechend ein, damit Ihre Daten optimal geschützt sind.
Über den Autor: Ralf-Peter Kleinert
Über 30 Jahre Erfahrung in der IT legen meinen Fokus auf die Computer- und IT-Sicherheit. Auf meiner Website biete ich detaillierte Informationen zu aktuellen IT-Themen. Mein Ziel ist es, komplexe Konzepte verständlich zu vermitteln und meine Leserinnen und Leser für die Herausforderungen und Lösungen in der IT-Sicherheit zu sensibilisieren.
Aktualisiert: Ralf-Peter Kleinert 15.01.2025
