hsb.horse
Ao fazer backup de arquivos locais para um armazenamento em nuvem, eu quero evitar subir tudo em texto puro.
Por isso escrevi o script age-tar, que combina age e tar para criar arquivos criptografados por diretório.
O que eu queria resolver
Dois pontos costumam virar gargalo em rotinas de backup:
- Fazer manualmente
tare depoisagepara cada diretório é trabalhoso - Nomes de diretório com japonês ou espaços são desconfortáveis de manipular na CLI
age-tar resolve esses dois problemas de uma vez.
O que este script faz
- Criptografa cada subdiretório logo abaixo do diretório alvo usando
tar + age - Usa nomes de arquivo de saída em base64URL para manter compatibilidade com CLI
- Na descriptografia, restaura e extrai usando o nome original do diretório
- Com
--dryrun, permite inspecionar apenas os comandos sem tocar em arquivos reais
Pré-requisitos
Instalar age
# macOSbrew install age
# Ubuntu/Debianapt install age
# Ou usar os releases oficiais# https://github.com/FiloSottile/age/releasesGerar chaves
# Criar chave secretaage-keygen -o ~/.age/key.txt
# Extrair chave públicaage-keygen -y ~/.age/key.txt > ~/.age/key.pubComo usar
Criptografar
age-tar -R ~/.age/key.pub -i /path/to/backup/targetCada diretório logo abaixo de /path/to/backup/target vira um arquivo .tar.age.
target/├── 日本語フォルダ/├── my documents/└── projects/Depois da criptografia, os diretórios originais continuam no lugar.
target/├── 5pel5pys6Kqe44OV44Kp44Or44OA.tar.age├── bXkgZG9jdW1lbnRz.tar.age├── cHJvamVjdHM.tar.age├── 日本語フォルダ/├── my documents/└── projects/Descriptografar
age-tar -d -I ~/.age/key.txt -i /path/to/encrypted/targetIsso descriptografa os arquivos .tar.age e os extrai novamente com os nomes originais.
Dry run
# Encryptage-tar -R ~/.age/key.pub -i /path/to/target --dryrun
# Decryptage-tar -d -I ~/.age/key.txt -i /path/to/target --dryrunEle apenas mostra os comandos que seriam executados e não realiza operações reais em arquivos.
Exemplo de fluxo
# 1. Criptografar localmenteage-tar -R ~/.age/key.pub -i ~/important-data
# 2. Enviar os arquivos criptografadosrclone copy ~/important-data/*.tar.age remote:backup/
# 3. Restaurarrclone copy remote:backup/ ~/restore/age-tar -d -I ~/.age/key.txt -i ~/restoreScript completo
#!/bin/bash
set -euo pipefail
usage() { cat <<EOFUsage: Encrypt: $(basename "$0") -R <public_key_path> -i <target_directory> [--dryrun] Decrypt: $(basename "$0") -d -I <identity_path> -i <target_directory> [--dryrun]
Options: -R <path> Path to the age public key file (for encryption) -I <path> Path to the age identity/secret key file (for decryption) -i <path> Path to the target directory (required) -d Decrypt mode --dryrun Simulation mode - show commands without executing
Description: Encrypt mode: Archives each subdirectory under the target directory into a tar file, then encrypts it using age with the specified public key. The output filename is the directory name encoded in base64URL format.
Decrypt mode: Decrypts each .tar.age file in the target directory, extracts the tar archive, and restores the original directory name from the base64URL encoded filename.EOF exit 1}
# Encode string to base64URL formatto_base64url() { local str="$1" # base64URL: replace + with -, / with _, remove = padding echo -n "$str" | base64 | tr -d '\n' | tr '+/' '-_' | tr -d '='}
# Decode base64URL format to stringfrom_base64url() { local str="$1" # Restore standard base64: replace - with +, _ with / local base64_str base64_str=$(echo -n "$str" | tr '_' '/' | tr '\-' '+')
# Add padding if necessary local padding=$((4 - ${#base64_str} % 4)) if [[ $padding -ne 4 ]]; then base64_str="${base64_str}$(printf '=%.0s' $(seq 1 $padding))" fi
echo -n "$base64_str" | base64 -d}
# Parse argumentsPUBLIC_KEY=""IDENTITY=""TARGET_DIR=""DRYRUN=falseDECRYPT_MODE=false
while [[ $# -gt 0 ]]; do case "$1" in -R) if [[ -z "${2:-}" ]]; then echo "Error: -R requires a path argument" >&2 exit 1 fi PUBLIC_KEY="$2" shift 2 ;; -I) if [[ -z "${2:-}" ]]; then echo "Error: -I requires a path argument" >&2 exit 1 fi IDENTITY="$2" shift 2 ;; -i) if [[ -z "${2:-}" ]]; then echo "Error: -i requires a path argument" >&2 exit 1 fi TARGET_DIR="$2" shift 2 ;; -d) DECRYPT_MODE=true shift ;; --dryrun) DRYRUN=true shift ;; -h|--help) usage ;; *) echo "Error: Unknown option: $1" >&2 usage ;; esacdone
# Validate required argumentsif [[ -z "$TARGET_DIR" ]]; then echo "Error: -i <target_directory> is required" >&2 usagefi
if $DECRYPT_MODE; then if [[ -z "$IDENTITY" ]]; then echo "Error: -I <identity_path> is required for decryption" >&2 usage fi if [[ ! -f "$IDENTITY" ]]; then echo "Error: Identity file not found: $IDENTITY" >&2 exit 1 fielse if [[ -z "$PUBLIC_KEY" ]]; then echo "Error: -R <public_key_path> is required for encryption" >&2 usage fi if [[ ! -f "$PUBLIC_KEY" ]]; then echo "Error: Public key file not found: $PUBLIC_KEY" >&2 exit 1 fifi
if [[ ! -d "$TARGET_DIR" ]]; then echo "Error: Target directory not found: $TARGET_DIR" >&2 exit 1fi
# Check if age command existsif ! command -v age &> /dev/null; then echo "Error: 'age' command not found. Please install age first." >&2 exit 1fi
TARGET_DIR="${TARGET_DIR%/}" # Remove trailing slash if present
# Decrypt modeif $DECRYPT_MODE; then found_files=false for encrypted_file in "$TARGET_DIR"/*.tar.age; do # Skip if no files found (glob didn't match) [[ -f "$encrypted_file" ]] || continue
found_files=true filename=$(basename "$encrypted_file") encoded_name="${filename%.tar.age}" original_dirname=$(from_base64url "$encoded_name") tarfile="${TARGET_DIR}/${encoded_name}.tar"
echo "Processing: $filename" echo " Decoded name: $original_dirname"
if $DRYRUN; then echo " [dryrun] age -d -i \"$IDENTITY\" -o \"$tarfile\" \"$encrypted_file\"" echo " [dryrun] tar -xf \"$tarfile\" -C \"$TARGET_DIR\"" echo " [dryrun] rm \"$tarfile\"" else # Decrypt with age echo " Decrypting: $tarfile" age -d -i "$IDENTITY" -o "$tarfile" "$encrypted_file"
# Extract tar archive echo " Extracting: $original_dirname" tar -xf "$tarfile" -C "$TARGET_DIR"
# Remove the tar file echo " Removing tar: $tarfile" rm "$tarfile" fi
echo " Done: $original_dirname" echo done
if ! $found_files; then echo "Warning: No .tar.age files found in $TARGET_DIR" >&2 exit 0 fi
echo "All files decrypted successfully." exit 0fi
# Encrypt modefound_dirs=falsefor dir in "$TARGET_DIR"/*/; do # Skip if no directories found (glob didn't match) [[ -d "$dir" ]] || continue
found_dirs=true dir="${dir%/}" # Remove trailing slash dirname=$(basename "$dir") encoded_name=$(to_base64url "$dirname") tarfile="${TARGET_DIR}/${encoded_name}.tar" encrypted_file="${TARGET_DIR}/${encoded_name}.tar.age"
echo "Processing: $dirname" echo " Encoded name: $encoded_name"
if $DRYRUN; then echo " [dryrun] tar -cf \"$tarfile\" -C \"$TARGET_DIR\" \"$dirname\"" echo " [dryrun] age --armor -R \"$PUBLIC_KEY\" -o \"$encrypted_file\" \"$tarfile\"" echo " [dryrun] rm \"$tarfile\"" else # Create tar archive echo " Creating tar archive: $tarfile" tar -cf "$tarfile" -C "$TARGET_DIR" "$dirname"
# Encrypt with age echo " Encrypting: $encrypted_file" age --armor -R "$PUBLIC_KEY" -o "$encrypted_file" "$tarfile"
# Remove the unencrypted tar file echo " Removing unencrypted tar: $tarfile" rm "$tarfile" fi
echo " Done: $encrypted_file" echodone
if ! $found_dirs; then echo "Warning: No subdirectories found in $TARGET_DIR" >&2 exit 0fi
echo "All directories processed successfully."Instalação
curl -o ~/.local/bin/age-tar <YOUR_GIST_URL>chmod +x ~/.local/bin/age-tar
# ~/.bashrc or ~/.zshrcexport PATH="$HOME/.local/bin:$PATH"Observações
- Esta implementação processa apenas os subdiretórios imediatos abaixo do diretório alvo
- Os diretórios originais permanecem após a criptografia, então a política de remoção precisa ser decidida separadamente
- Na descriptografia, ele cria um
.tartemporário a partir de.tar.age, extrai e depois remove esse arquivo temporário
Resumo
Com age-tar, backups criptografados por diretório passam a ser um procedimento repetível.
Ao combinar a criptografia com age e a normalização de nomes de arquivo em base64URL, até dados com nomes de diretório em japonês ficam mais fáceis de operar pela CLI.