Verschlüsselte Backups mit Déjà Dup und Duplicity

Verschlüsselung schützt zwar Daten, schränkt aber naturgemäß die Datenverfügbarkeit ein und damit auch die Möglichkeiten zur Wiederherstellung von Daten von defekten Speichermedien oder fehlerhaften Betriebssystemen. Deshalb sind Backups sehr wichtig.

Ist ein unverschlüsseltes System unwiederbringlich defekt, bootet man entweder von einer Live-CD oder baut das Speichermedium aus, um an die Daten zu kommen. Schwieriger wird es, wenn es irgendwelchen Gründen der LUKS Header defekt ist oder das Speichermedium selbst Probleme hat. Datenrettung bei verschlüsselten Systemen ist keine schöne Sache. Deshalb sind Backups hier noch wichtiger als sie es sonst schon sind.

Allerdings gefährden unverschlüsselte Backups wiederum die Sicherheit. Es macht keinen Sinn, ein Betriebssystem komplett zu verschlüsseln, wenn in der Schreibtischschublade eine unverschlüsselte externe Festplatte mit allen Daten liegt. Die Lösung ist hier relativ einfach: Man verschlüsselt auch die externen Speichermedien.

Schwieriger ist das bei Sicherungen auf einem NAS. Die Geräte laufen meist im 24/7-Betrieb oder zumindest dauerhaft in einem festgelegten Nutzungszeitraum. Während der Laufzeit sind die Backup-Volumes naturgemäß entschlüsselt. Die meisten Anwender lassen das NAS-Betriebssystem verschlüsselte Volumes auch gleich beim Start entschlüsseln, da eine zusätzliche Passworteingabe bei entfernten Systemen extrem unpraktisch ist.

Bei den immer beliebteren Backups in der Cloud ist eine clientseitige Verschlüsselung auf dem Gerät des Nutzers während des Backup-Vorgangs sowieso Pflicht, weil man ansonsten alle seine Daten dem Cloud-Betreiber ausliefert.

Man kann hier mit LUKS-Containern oder Verschlüsselungslösungen für die Cloud arbeiten und dann Daten per rsync sichern oder gleich eine integrierte Softwarelösung nutzen.

Vorteile von Déjà Dup

Eine solche integrierte Lösung bietet die GNOME-Software Déjà Dup. Dabei handelt es sich um Frontend für Duplicity, das eine ziemlich ausgereifte Backup-Lösung ist. Ich hatte um Déjà Dup immer einen Bogen gemacht, weil es als GNOME-Programm ziemlich viele Abhängigkeiten in dessen Ökosystem mit sich zieht. Seit meinem vollständigen Wechsel auf die Pantheon Shell ist das kein Problem mehr, weil Déjà Dup sich sehr gut in Gtk-basierte Desktopumgebungen integriert.

Déjà Dup ist eine langjährig etablierte Software und bei allen Linux-Distributionen in den Paketquellen enthalten. Die Version ist dabei zweitrangig, da in den letzten Jahren keine substanzielle Entwicklung jenseits von kleinen Modifikationen und Fehlerbehebungen erfolgte.

Natürlich kann man Duplicity genau wie andere CLI-Lösungen auch ohne grafische Oberfläche nutzen. Ich habe zwar kein Problemen mit der Kommandozeile, aber schätze gute und einfach zu bedienende grafische Oberflächen. Ich möchte nicht für jedes Backup, jeden Mount-Vorgang und jede kleine Wartungsaufgabe einen Befehl eingeben. Die Kommandozeile ist bei mir Anwendungen vorbehalten, deren Vielfalt sich nur schlecht in grafische Umgebungen packen lässt und wo ich mehr Kontrolle benötige. Beispielsweise bei der Paketverwaltung unter openSUSE.

Déjà Dup bietet einige Alleinstellungsmerkmale gegenüber anderen Backup-Lösungen für Linux. Es bietet – wie bereits geschrieben – eine übersichtliche grafische Oberfläche, beherrscht die Verschlüsselung der Backups, kann über GVFS problemlos Netzwerkfreigaben als Backupziele auswählen und lässt sich einfach als automatisieren.

Automatische verschlüsselte Backups mit Déjà Dup

Die Einrichtung ist dank der einfachen Einrichtungsroutine schnell erledigt. Beim Programmstart klickt man einfach auf die Schaltfläche zur Erstellung einer ersten Sicherung.

Anschließend werden die zu sichernden Ordner und die ausgeschlossenen Ordner festgelegt. Standardmäßig schlägt Déjà Dup das Homeverzeichnis des Anwenders zur Sicherung vor und exkludiert Download-Verzeichnis und Papierkorb. Danach legt man das Sicherungsziel fest. Entweder ein Ordner (der auch auf einem externen Speichermedium liegen kann) oder auf einer Netzfreigabe. Abschließend fragt das Programm noch, ob man die Sicherung mit einem Passwort schützen möchte. Hierdurch aktiviert man die clientseitige Verschlüsselung.

Danach beginnt die erste Sicherung. Je nach Menge der zu sichernden Daten, Qualität des heimischen Netzwerks und Geschwindigkeit des NAS, kann dieser Vorgang eine Weile dauern.

Ohne Verschlüsselung legt Déjà Dup bzw. Duplicity die Datensicherung in Form vieler tar.gz Archive an, mit aktivierter Verschlüsselung werden diese Archive mit GnuPG verschlüsselt.

Ist die erste Sicherung erfolgreich durchgelaufen zeigt Déjà Dup die Option zur automatischen Sicherung an.

Sobald man die entsprechende Option aktiviert, startet das Programm mit einem festgelegten Sicherungsintervall. Optionen um die Häufigkeit zu regulieren fehlen allerdings. Eine automatische Sicherung macht natürlich nur Sinn, wenn das Backupziel permanent verfügbar ist.

Déjà Dup sichert die Daten inkrementell, das bedeutet die Sicherung enthalten nur die geänderten Daten. In regelmäßigen Abständen oder bei großer zeitlicher Distanz zwischen zwei Sicherungen führt das Programm automatisch eine Vollsicherung durch.

Eine Wiederherstellung der Dateien ist über den Reiter „Wiederherstellen“ möglich. Über das Dropdown-Menü „Datum“ lassen sich die einzelnen Sicherungen selektieren und einzelne Dateien oder ganze Ordner auf einen beliebigen Stand zurücksetzen.

Nachteile von Déjà Dup

Das führt auch direkt zu den Nachteilen von Déjà Dup. Die Sicherung erfolgt in Archiven und mit Verschlüsselung, die sich ohne entsprechende Software nicht lesen lässt. Es benötigt zwar nicht zwingend Déjà Dup zur Wiederherstellung von Backups, aber zwingend Duplicity und das gibt es nur für Linux. Die so erzeugten Backups lassen sich also nicht unter Windows oder macOS lesen oder wiederherstellen.

Weiterhin lassen sich keine Backup-Profile erstellen. Man kann also mittels Déjà Dup dasselbe System nicht auf ein NAS und zusätzlich noch auf Festplatten sichern. Ich nutze Dèjà Dup deshalb nur für das NAS, weil hier Automatisierung und Verschlüsselung ihre Stärken ausspielen und sichere die Daten zusätzlich noch auf externe Festplatten mittels (G)rsync. Die Sicherung der Daten übernimmt hier eine herkömmliche LUKS-Verschlüsselung.

Zusammengefasst

Déjà Dup bietet eine sehr gute Oberfläche für ein mächtiges Backup-Tool, mit dem sich niedrigschwellig Datensicherungen automatisieren lassen. Beides sind für Backups wichtige Aspekte, weil nur Automatisierung und ein leichter Zugang dafür sorgen, dass Anwender auch wirklich Backups machen und diese regelmäßig durchführen.

Die einfach gehaltene Oberfläche bringt ein paar Nachteile mit sich, aber Déjà Dup ist trotzdem die beste grafische Backuplösung für den Linux-Desktop.

6 Kommentare

  1. Das Artikelende hängt in der Luft…
    Ich habe es viele Jahre mit Déjà Dup probiert, aber immer gab es irgendwelche Probleme. Mal war eine Datei zu groß, oder das Gespann mit Duplicity funktionierte nicht, nur mit der Snap-Version. Zuletzt dauerten Backups ewig, wenn sie überhaupt beendet wurden.
    Schließlich bin ich auf Restic umgestiegen. Das verschlüsselt auch und ist – gefühlt – um den Faktor 20 schneller.

  2. Hey Gerrit,
    ich muss zugeben, ich hab deinen Artikel kaum gelesen 😉 aber ich persönlich hab nicht so gute Erfahrungen mit Deja Dup gemacht. Mehrmals hat das bei mir schon Archive zerschossen, so das es diese dann nicht mehr herstellen konnte. Ich weiß bis heute nicht was passiert ist, aber mein Vertrauen ist hin.
    Ich bin darum vor einigen Jahren auf Borg umgestiegen. Jetzt weiß ich das du kein großer Fan von Bastellösungen bist, aber guck dir das ganze mal in Verbindung mit Vorta (GUI, gibts als flatpak meine ich) an. Vor allem das mount Konzept sagt mir bei Borg einfach viel mehr zu als diese komische wieder herstellen in Verbindung mit Nautilus bei DejaDup

    Lg

  3. Ich hatte DéjàDup wegen der guten Systemintegration bevorzugt, bis ich entnervt das Vertrauen verloren hatte durch das lange Scannen, das langsame Wiederherstellen (45min für eine kleine Datei) und die Fehlermeldung am Ende (trotz brauchbarer Sicherung).

    Bup(s) war ein effizienter und schneller Ansatz, aber nicht aktiv entwickelt.

    Komplette Platten-Images sind bei mir aktuell schneller, immer zuverlässig und universeller als DéjàDup.

Kommentarfunktion ist geschlossen.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...