Auf meinem Laptop laufen derzeit Windows und Fedora, aber ich plane, bald Arch Linux als mein einziges Betriebssystem zu installieren. Dieses aktuelle Setup verwendet die Vollplattenverschlüsselung durch TrueCrypt, aber ich bin mir nicht sicher, ob das für mich unnötig sein könnte.
Ich denke, ich werde ein relativ einfaches Partitionsschema verwenden, etwa so: /, /boot, /homeund swap.
Ich verwende meinen Laptop für die durchschnittliche alltägliche PC-Nutzung, zum Programmieren, Testen auf einem lokalen Webserver oder einem virtuellen Webserver, zur Audio-/Videowiedergabe, zur Audiobearbeitung/-aufnahme usw.
Ich möchte auch mein nächstes Arch-Only-Setup verschlüsseln, kann mich aber nicht entscheiden, ob ich die ganze Festplatte partitionieren soll, nur die Home-Partition oder etwas anderes. Ich möchte das System hauptsächlich verschlüsseln, um eventuell verlorene/gestohlene Daten zu sichern.
Ich denke, dass dm-crypt mit LUKS meine beste Wahl wäre, aber ich bin nicht sicher.
Was soll ich wählen und warum?
Antwort1
In den meisten Szenarien funktioniert eines der folgenden drei Schemata gut.
Sie möchten nur wenige, besonders vertrauliche Dateien verschlüsseln.
Verwendenencfs:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
Vorteile: Kein Overhead beim Zugriff auf nicht vertrauliche Dateien. Sie können verschiedene Hierarchien mit unterschiedlichen Passwörtern haben. Sie können eine ganze Hierarchie verschlüsselter Dateien problemlos auf einen anderen Computer kopieren. Sie benötigen keine besonderen Berechtigungen zur Verwendung von encfs.
Nachteile: verschlüsselt nur Dateien, die explizit im verschlüsselten Bereich abgelegt werden; etwas langsamer als die Verschlüsselung auf Festplattenebene, wenn Sie ohnehin viele Dateien verschlüsseln möchten.
Sie möchten, dass Ihr gesamtes Home-Verzeichnis verschlüsselt wird.
Verwendenecryptfs.
Vor-und Nachteile. Kurz gesagt, ecryptfs funktioniert besonders gut, wenn Sie Ihr Home-Verzeichnis mit Ihrem Anmeldekennwort verschlüsseln möchten; dies wird von Ubuntu verwendet, wenn Sie dem Installer sagen, dass er Ihr Home-Verzeichnis verschlüsseln soll. Ein Nachteil ist, dass es schwieriger ist, sich per SSH in Ihr Konto einzuloggen, denn wenn Sie Schlüsselauthentifizierung für SSH verwenden, muss Ihr öffentlicher Schlüssel außerhalb des verschlüsselten Bereichs platziert werden und Sie müssen Ihr Kennwort nach dem SSH-Einloggen eingeben.
Vollständige Festplattenverschlüsselung.
Verwendendm-cryptum alles außer zu verschlüsseln /boot.
Vorteile: Alles ist verschlüsselt, sodass Sie sich keine Sorgen machen müssen, eine Datei versehentlich an der falschen Stelle abzulegen. Die Blockverschlüsselung sorgt für eine höhere Geschwindigkeit, insbesondere wenn Ihr Prozessor über einen Hardwarebeschleuniger für AES verfügt (AES-NIauf x86).
Nachteile: Sie müssen das Kennwort beim Booten eingeben, sodass ein unbeaufsichtigter Bootvorgang nicht möglich ist. Alles ist verschlüsselt, was bei einem langsamen Prozessor zu Verzögerungen führen kann.
Allgemeine Hinweise
Wenn Sie sich nicht für die vollständige Festplattenverschlüsselung entscheiden, denken Sie daran, dass einige temporäre Kopien Ihrer Daten außerhalb Ihres Home-Verzeichnisses landen können. Das offensichtlichste Beispiel ist der Swap-Speicher. Wenn Sie also Verschlüsselung verwenden, um zu verhindern, dass ein Dieb Ihre Daten liest, verschlüsseln Sie ihn unbedingt (mit dm-crypt). Da der Swap-Speicher bei jedem Start neu initialisiert wird, können Sie dafür einen zufälligen Schlüssel verwenden und auf diese Weise einen unbeaufsichtigten Start durchführen (dies macht jedoch den Ruhezustand unmöglich).
Unter tmpfs ablegen /tmp(das ist sowieso eine gute Idee). SieheWie verschiebe ich /tmp (sicher) auf ein anderes Volume?Informationen zur Migration /tmpzu tmpfs.
Weitere gefährdete Bereiche sind der Mail Drop ( /var/mail) und der Druckspooler ( /var/spool/cups).
Antwort2
Sie sollten sich unbedingt für luks entscheiden, da es in den Linux-Kernel integriert ist und sofort einsatzbereit ist. Die Verwendung anderer Lösungen lohnt sich nicht wirklich, insbesondere da einige von ihnen dies nicht unterstützen AES-NI.
Eine Diskussion darüber, was verschlüsselt werden soll, finden Sie unterGibt es einen Grund für verschlüsselte /?Aber je nach Ihrem Paranoia-Level und Ihren Sicherheitsanforderungen /homekann einfaches Verschlüsseln ausreichend sein.