vps 非对称加密备份指南

阅读本文不需要你有任何密码学知识, 只要会执行脚本即可, 前半段都是技术细节, 不感兴趣也可跳过

引言

为了在 vps 上部署的项目不丢失数据, 通常需要对数据定期备份, 上传到 s3/网盘/其他服务器等地方.
但是只打包并压缩数据进行备份不够安全, 备份信息中通常有很多个人信息, 对于各种备份方案而言, 都存在潜在的安全风险(这里只讨论数据读取安全, 不考虑违反 tos 被删除的情况):

• s3: 部分 s3 存储会扫描数据, 并且 s3 一般使用公开存储桶, 实际上没有访问限制
• 网盘: 同上, 并且网盘通常被各类工具, 例如 alist/rclone 等工具挂载, 而这些设备又存在安全风险, 一旦部署环境被黑, 就有可能泄漏工具保存的网盘 cookie
• 其他服务器: 同样有系统安全风险
• github: 类似网盘, 但更危险一些

因此需要在备份时对数据进行加密, 但传统的文件加密方式实际上对机器也是透明的, 被攻击时不仅泄漏了当前版本的数据, 也同时泄漏了之前加密的数据.
同时, 这种加密方式要求每台机器使用不同的加密密码, 否则, 一旦泄漏所有文件都明文了.
但手里有一堆账号的都知道, 记录密码是很麻烦的事, 更何况解密时还需要判断是什么密钥