Зашифровать образ диска CentOS 7 через Clonezilla

Важно: при шифровании образа используется пароль (passphrase). Если вы забудете пароль — восстановление данных будет невозможно.

Краткое содержание

• Что делает Clonezilla и зачем нужен образ диска
• Требования и подготовка среды
• Подробный пошаговый процесс создания зашифрованного образа на Samba (с иллюстрациями)
• Рекомендации по именованию, проверке и восстановлению образов
• Безопасность, управление паролями, совместимость и отладка
• Готовые контрольные списки и шаблоны для администраторов

Для кого эта инструкция

Для системных администраторов и инженеров по эксплуатации, которым нужно сделать резервную копию целого диска CentOS 7 (включая загрузочную запись и разделы), хранить образ в сети и зашифровать его для защиты от несанкционированного доступа.

Что такое Clonezilla (одним предложением)

Clonezilla — свободный инструмент для создания образов и клонирования дисков/разделов; он сохраняет блоки данных и поддерживает сохранение образов на локальные и сетевые хранилища (SMB/NFS/SSH).

Основные преимущества метода

• Полный образ диска: включает MBR/GPT, таблицы разделов и содержимое файловых систем.
• Поддержка сетевого хранения и шифрования на лету (eCryptfs через интерфейс Clonezilla).
• Быстрое восстановление при отказе накопителя: отключил старый диск, подключил новый — откат.

Ограничения и случаи, когда метод не подходит

• Clonezilla по умолчанию не предназначен для инкрементных резервных копий (требуют ручных обходов).
• На рабочем сервере требуется вывод сервиса из эксплуатации или перенос служб на временный хост — необходимо планировать окно обслуживания.
• Целевой диск для восстановления должен иметь не меньше места, чем исходный (или использовать опции expert для изменения размеров, но это рискованно).

Требования

• Последний ISO-образ Clonezilla: http://clonezilla.org/downloads.php
• Носитель для загрузки: CD/DVD или USB (инструменты: Rufus, Pendrivelinux либо PXE)
• Доступ к Samba/SMB-ресурсу с правами записи
• Пароль для шифрования образа (записать безопасно)
• Физический доступ к серверу для перезагрузки в среду Clonezilla

Подготовка перед процедурой

1. Проверить целевой и исходный диски: выполните в системе (до загрузки в Clonezilla) команды для проверки устройств: lsblk, fdisk -l или blkid. Эти команды используются для однозначной идентификации дисков.
2. Спланировать окно обслуживания: временная недоступность DHCP/DNS-сервисов (в примере сервер был DHCP+DNS).
3. Убедиться в наличии доступа к Samba и прав записи; подготовить папку и учётную запись.
4. Подготовить внешний накопитель или сетевое хранилище как резервный вариант.
5. Записать или сохранить passphrase в безопасном менеджере паролей — потеря пароля приведёт к невозможности восстановления.

Правила именования образа (рекомендации)

Используйте человеко-читаемую схему: YYYY-MM-DD_hostname_role (например: 2025-09-01-dc01-dhcp-dns). Это упрощает поиск и ротацию образов.

Шаги: создание зашифрованного образа диска CentOS 7

1. Загрузите ISO Clonezilla и создайте загрузочный носитель (CD/USB) или настройте PXE.
2. Вставьте носитель в сервер и загрузитесь в BIOS/UEFI; выберите загрузку с CD/USB.
3. На первом экране выберите “Clonezilla live” и нажмите Enter.

4. Дождитесь загрузки ядра в RAM и выберите язык навигации стрелками, затем Enter.

5. При появлении запроса о раскладке клавиатуры можно выбрать “Don’t touch keymap” (не менять), если стандартная раскладка устраивает.

6. Выберите “Start Clonezilla” и нажмите Enter.

7. На экране выбора режима выберите “device-image” — этот режим сохраняет образ устройства в файл.

8. В следующем окне выберите целевой тип хранилища: в нашем примере — samba_server (SMB/CIFS).

9. Настройка сети: выберите DHCP, если ваш сегмент предоставляет адреса; при отсутствии DHCP укажите статические настройки.

10. Укажите IP-адрес или FQDN Samba-сервера.

11. Поле домена можно оставить пустым, если Samba не является частью Realm/AD.

12. Укажите имя пользователя Samba с правом записи в указанную директорию.

13. Укажите абсолютный путь директории на Samba-сервере, куда будет сохранён образ.

14. Выберите версию протокола SMB. По умолчанию используйте новую версию (обычно 2.x или 3.x). Для старых серверов выберите 1.0.

15. Обычно оставляйте режим безопасности по умолчанию (auto Use system default security mode).

16. Введите пароль пользователя Samba для монтирования шаринга.

17. Режим работы Clonezilla: выберите “Beginner mode” для простоты. Экспертный режим даёт больше опций (например, –k1, –r) для изменения размеров разделов при восстановлении, но они рискованны для неподготовленных пользователей.

18. Выберите опцию “savedisk” — сохранение образа всего диска (не отдельного раздела).

19. Выберите имя образа: можно принять автоматическое или задать осмысленное имя с датой.

20. Выберите исходный диск (sda, sdb и т.д.). Обратите внимание: в Linux диски называются sda/sdb (физические), vda/xvda (виртуальные), md0/md127 (software RAID). Проверьте серийный номер или используйте вывод BIOS/UEFI для точной идентификации.

21. Если вы уверены в целостности файловой системы, можно выбрать “Skip checking/reparing source file system”.

22. По желанию можно пропустить проверку реставрируемости сохранённого образа (увеличивает скорость, снижает гарантию восстановления).

23. Выберите “Encrypt the image” — Clonezilla предложит зашифровать образ с помощью eCryptfs.

24. Выберите действие после завершения (например, выключение) и введите passphrase для шифрования образа. Сохраните passphrase в надёжном месте.

25. Clonezilla покажет сводку операций и таблицу разделов. Внимательно проверьте все параметры и подтвердите операцию ответом “yes”.

26. Процесс клонирования начнётся и будет показывать прогресс: размер раздела, скорость передачи и процент скопированных блоков.

27. По завершении Clonezilla сообщит об успешности и выключит систему через заданное время. Выньте загрузочный носитель и остановите машину.

Что делать после создания образа — проверка и хранение

• Проверьте наличие образа на Samba-сервере (права доступа, размер, дата).
• Рекомендуется выполнить тестовое восстановление на изолированной виртуальной машине или spare-диске, чтобы убедиться, что образ корректно реставрируется.
• Поддерживайте ротацию образов и удаляйте старые по регламенту.

Рекомендации по безопасности и шифрованию

• Никогда не храните passphrase рядом с образом на том же файле-шаре.
• Используйте менеджер паролей или аппаратный токен для хранения ключей.
• Доступ к Samba-шаре ограничьте по IP/файерволу и правам учётных записей.
• Рассмотрите шифрование на уровне носителя для дополнительной защиты (например, аппаратное шифрование внешних HDD).

Совместимость и нюансы BIOS/UEFI, LVM и RAID

• UEFI vs Legacy: Clonezilla загружается в обоих режимах, но восстановление загрузчика в UEFI может потребовать дополнительных действий (восстановление EFI-партиции).
• LVM: Clonezilla может сохранить LVM-тома как блоки; после восстановления иногда требуется пересканировать PV и VG (pvscan/vgscan).
• Software RAID (md): Clonezilla умеет собирать md-массивы перед сохранением; при восстановлении важно сохранять схемы RAID.

Когда метод не подойдёт (контрпример)

• Если у вас критичные 24/7 сервисы, требующие нулевого времени простоя, образ диска в offline-режиме не подходит — рассмотрите решения с репликацией на уровне приложений или снапшоты файловой системы с поддержкой live backup.

Альтернативные подходы

• Инкрементные резервные копии на уровне файлов: rsync/rdiff-backup/duplicity
• Снапшоты LVM/ZFS с последующей репликацией
• Коммерческие решения для бэкапа с поддержкой дедупликации и шифрования на сервере

Быстрые проверки перед восстановлением (чеклист)

• Имеется доступ к папке с образом на Samba и права на чтение
• Наличие пароля для расшифровки и его корректность
• Совместим ли целевой диск по размеру/таблице разделов
• Сделана тестовая реставрация в безопасной среде

Шаблон имени образа (рекомендация)

Имя: YYYY-MM-DD_hostname-role_os_version (например: 2025-09-16-dc01-dhcpdns-centos7)

Мини-методология: как внедрить процесс бэкапа образов в компании

1. Оценка: определить критичные серверы для холодного образа.
2. Процедуры: разработать SOP для создания и тестовой реставрации.
3. Хранение: централизовать образы на защищённом NAS с ротацией.
4. Проверка: периодически запускать тестовое восстановление.
5. Документация: хранить инструкции восстановления отдельно от образов.

Runbook: быстрое восстановление сервера из образа (короткий план)

1. Подготовить сервер/хост для восстановления (подключить диск).
2. Загрузиться с Clonezilla live.
3. Подключиться к Samba и найти нужный образ.
4. Выбрать “restoredisk” и указать целевой диск.
5. Ввести passphrase для расшифровки.
6. После восстановления проверить загрузку ОС и службы.
7. Если загрузчик не заработал (UEFI/GRUB), восстановить загрузочную запись вручную.

Отладка: распространённые проблемы и решения

• Samba не монтируется: проверьте версию SMB, имя пользователя и пароль, доступ из сети, правила firewall.
• Clonezilla не видит диск: проверьте режим контроллера SATA/RAID в BIOS/UEFI (AHCI vs RAID), используйте lsblk/fdisk для диагностики.
• Образ не расшифровывается: проверьте passphrase; восстановление невозможно без правильного пароля.

Рекомендации по тестированию и приёмке

Критерии приёмки

• Образ успешно создаётся без ошибок и доступен на Samba.
• Тестовая реставрация проходит и система грузится.
• Пароль хранится в менеджере паролей и может быть подтверждён ответственным лицом.

Часто задаваемые вопросы

Можно ли использовать Clonezilla для инкрементного бэкапа?

Clonezilla ориентирована на поблочное копирование полных образов; инкрементальные резервные копии возможны через дополнительные сценарии и ручную работу, но это не штатная и простая функция.

Что делать, если забыли passphrase для зашифрованного образа?

К сожалению, без правильного passphrase восстановление невозможно — данные будут недоступны. Это ключевая причина хранить пароли безопасно.

Можно ли восстанавливать образ на меньший диск?

По умолчанию нет. В экспертном режиме возможны операции с изменением размеров разделов, но это рискованно и требует понимания каждой файловой системы и структуры разделов.

1‑строчный глоссарий

• образ диска: побитовая копия всего диска, включая загрузочные записи и таблицу разделов.
• Samba: реализация SMB/CIFS для совместного доступа к файлам в сети.
• eCryptfs: механизм подсистемы шифрования на уровне файловой системы (в данном случае используется Clonezilla).

Mermaid: выбор хранилища для образа (помощь в решении)

flowchart TD
  A[Где хранить образ?]
  A --> B{Нужен быстрый доступ и безопасность}
  B -->|Да| C[NAS/SAN с шифрованием и контролем доступа]
  B -->|Нет| D[Внешний HDD, хранить в сейфе]
  A --> E{Нужна автоматизация ротации}
  E -->|Да| C
  E -->|Нет| D
  C --> F[Ограничить доступ по сети, резервное копирование NAS]
  D --> G[Хранить в защищённом физическом месте]

Заключение

Создание зашифрованного образа диска CentOS 7 с помощью Clonezilla — надёжный способ обеспечить быстрое восстановление системы при отказе носителя. Метод требует планирования: подготовить сеть и доступ к Samba, выбрать безопасное хранение пароля и выполнить тестовое восстановление. Clonezilla хорошо подходит для холодных бэкапов целых дисков, но не заменяет системы, требующие непрерывной доступности и инкрементальной защиты.

Дополнительные материалы и ссылки

• Официальный сайт Clonezilla: http://clonezilla.org