システム暗号化の次の構成例を見つけました。
例5: 偏執的システム暗号化
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
しかし、詳細は見つかりませんでした。
これは、各ユーザー パーティションに独自のパスフレーズがあり、たとえば、あるユーザーがログインしている場合、そのユーザーのデータは暗号化されているため、ログインしていない別のユーザーのデータを読み取ることができないような完全なシステム暗号化が可能だということですか? (異なるホーム パーティションを で暗号化する場合と同様ですecryptfs)。
それで、これが実際にどのように機能するか、そしてUbuntu システムでどのように設定するかについて、詳細を教えていただけますか?
答え1
ユーザーごとの暗号化が必要な場合、Ubuntu はすでにそのためのソリューションを提供していると思います。これは、通常のファイルシステムの上に暗号化されたレイヤーを使用して、各ユーザーのホーム ディレクトリを個別に暗号化するために、dm-crypt/luksbutや類似のものを使用しません。ecryptfs
に関してはdm-crypt/luks、同じことを実現するには、ユーザーごとに個別のパーティションまたは論理ボリュームを作成する必要があります。
もう 1 つの可能性は、LUKS が同じコンテナーに対して複数のキーをサポートしていることを指しているということです。ただし、これは 8 つのキー スロットに制限されているため、ユーザー数がそれほど少ない場合を除き、あまり実用的ではありません。
連鎖システムを設定することもできます。つまり、ユーザーにマスター キーのロックを解除するキーを与え、そのマスター キーでコンテナーのロックを解除します。ただし、これはユーザー管理にはあまり適していないと思います。USB スティックの盗難や紛失 == キーの紛失を防ぎたい場合に役立つかもしれません。