· Henning Scholand · Proxmox  · 2 Min. Lesezeit

Verschlüsselte Backups mit PBS — Key-Management und Off-Site

PBS verschlüsselt Backups client-seitig — der Server sieht nie den Klartext. Wie Key-Management funktioniert, Schlüssel sicher aufbewahrt werden und Off-Site-Backups zu S3-kompatiblem Storage gehen.

PBS verschlüsselt Backups client-seitig — der Server sieht nie den Klartext. Wie Key-Management funktioniert, Schlüssel sicher aufbewahrt werden und Off-Site-Backups zu S3-kompatiblem Storage gehen.

PBS-Verschlüsselung ist client-seitig: Die Proxmox-Hosts verschlüsseln die Daten bevor sie den PBS-Server erreichen. Der Backup-Server sieht nur verschlüsselten Ciphertext — selbst wenn der PBS-Server kompromittiert wird, sind die Backup-Daten wertlos ohne den Schlüssel.

Verschlüsselungs-Key erstellen

# Auf dem Proxmox-Host (nicht auf PBS!)
proxmox-backup-client key create /etc/pve/priv/backup-encryption.key

# Key-Metadaten anzeigen
proxmox-backup-client key show /etc/pve/priv/backup-encryption.key

Der Key wird AES-256-GCM verschlüsselt gespeichert.

Key absichern mit Passwort

# Key mit Passwort schützen
proxmox-backup-client key change-passphrase \
  /etc/pve/priv/backup-encryption.key

# Master-Key für Automation
proxmox-backup-client key create-master-key \
  --output-file /root/master-key.pub

Backup-Job mit Verschlüsselung

# Backup-Job in Proxmox mit Encryption-Key
pvesh set /cluster/backup/<jobid> \
  --notes-template "{{guestname}}" \
  --enc-key /etc/pve/priv/backup-encryption.key

Oder direkt per Client:

proxmox-backup-client backup \
  vm/100.pxar:/ \
  --repository backup@pbs@10.20.0.50:prod-backups \
  --keyfile /etc/pve/priv/backup-encryption.key \
  --crypt-mode encrypt

Key-Backup: Das kritischste Element

Ohne den Encryption-Key sind alle Backups wertlos. Der Key muss mindestens an drei Orten sicher aufbewahrt werden:

# 1. Ausdrucken als Paper-Key
proxmox-backup-client key export-paper-key \
  /etc/pve/priv/backup-encryption.key \
  > /tmp/paper-key.txt
# Ausdrucken und im Tresor verwahren

# 2. Base64-Export für Passwort-Manager
proxmox-backup-client key show \
  /etc/pve/priv/backup-encryption.key \
  --format json | jq -r '.key' | base64

Wichtig: Den Key NIEMALS nur auf dem Proxmox-Host aufbewahren. Wenn der Host ausfällt, ist der Key weg.

Verifikations-Jobs automatisieren

PBS kann Backups automatisch verifizieren:

# Verifikations-Job anlegen (auf PBS-Host)
proxmox-backup-manager verify-job create \
  --id daily-verify \
  --datastore prod-backups \
  --schedule "0 4 * * *" \
  --ignore-verified 1 \
  --outdated-after 30
  # Backups älter als 30 Tage werden erneut verifiziert
# Manuell verifizieren
proxmox-backup-client snapshot verify \
  --repository backup@pbs@10.20.0.50:prod-backups \
  vm/100/2026-05-29T02:00:00Z

Off-Site-Backup: S3-kompatibles Ziel

PBS kann Backups in einen zweiten Datastore synchronisieren:

# rclone für S3-Mount
apt install rclone -y

# /etc/rclone.conf
[backblaze]
type = b2
account = <account-id>
key = <application-key>

# Automatisch mounten
rclone mount backblaze:proxmox-backups /mnt/s3 \
  --daemon \
  --allow-other \
  --vfs-cache-mode full

# Sync-Job: prod-backups → offsite täglich
proxmox-backup-manager sync-job create \
  --id offsite-sync \
  --store prod-backups \
  --remote-store offsite-s3 \
  --schedule "0 5 * * *" \
  --remove-vanished 0 \
  --max-depth 2

Backup-Verschlüsselung verifizieren

# Prüfen ob Backup wirklich verschlüsselt ist
proxmox-backup-client snapshot list \
  --repository backup@pbs@10.20.0.50:prod-backups
# Output zeigt: crypt-mode: encrypt

Im letzten Teil der Serie geht es um das wichtigste und am meisten vernachlässigte Thema: Restore-Tests und Disaster-Recovery-Prozesse.

Teilen:
Zum Blog

Ähnliche Artikel

Alle Artikel »