Actualmente, mi computadora portátil ejecuta Windows y Fedora, pero pronto planeo instalar Arch Linux como mi único sistema operativo. Esta configuración actual utiliza cifrado de disco completo a través de TrueCrypt, pero no estoy seguro de si podría resultar innecesario para mí.
Creo que usaré un esquema de partición algo simple, algo como: /, y ./boot/homeswap
Estoy usando mi computadora portátil para el uso diario promedio de la PC, programación, pruebas en un servidor web local o en un servidor web virtual, reproducción de audio/vídeo, edición/grabación de audio, etc.
También quiero cifrar mi próxima configuración exclusiva de Arch, pero no puedo decidir si particionar todo el disco, solo la partición de inicio o algo más. Quiero cifrar el sistema principalmente para proteger datos eventuales perdidos o robados.
Estoy pensando que dm-crypt con LUKS sería mi mejor opción, pero no estoy seguro.
¿Qué debo elegir y por qué?
Respuesta1
En la mayoría de los escenarios, uno de los tres esquemas siguientes funciona bien.
Sólo desea cifrar algunos archivos particularmente confidenciales.
Usarencfs:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
Ventajas: no hay gastos generales para acceder a archivos no confidenciales; puedes tener diferentes jerarquías con diferentes contraseñas; puedes copiar fácilmente toda una jerarquía de archivos cifrados a otra máquina; No necesita ningún permiso especial para usar encfs.
Desventajas: sólo cifra archivos que se colocan explícitamente en el área cifrada; un poco más lento que el cifrado a nivel de disco si de todos modos vas a cifrar muchos archivos.
Quiere que todo su directorio personal esté cifrado.
Usarecryptfs.
Pros y contras. En pocas palabras, ecryptfs funciona especialmente bien cuando desea cifrar su directorio personal utilizando su contraseña de inicio de sesión; esto es lo que usa Ubuntu si le dice al instalador que cifre su directorio de inicio. Una desventaja es que es más difícil ingresar a su cuenta mediante ssh, porque si está utilizando la autenticación de clave para ssh, su clave pública debe colocarse fuera del área cifrada y deberá escribir su contraseña después de ingresar mediante ssh.
Cifrado de disco completo.
Usardm-criptapara cifrar todo excepto /boot.
Ventajas: todo está cifrado, por lo que no tienes que preocuparte por colocar accidentalmente un archivo en el lugar equivocado; El cifrado a nivel de bloque proporciona una mejor velocidad, especialmente si su procesador tiene un acelerador de hardware para AES (AES-NIen x86).
Desventajas: debe proporcionar la contraseña en el momento del arranque, por lo que no puede realizar un arranque desatendido; todo está cifrado, lo que puede resultar lento si su procesador es lento.
Notas generales
Si no opta por el cifrado completo del disco, recuerde que algunas copias temporales de sus datos pueden terminar fuera de su directorio personal. El ejemplo más obvio es el espacio de intercambio, por lo que si va a utilizar cifrado para evitar que un ladrón lea sus datos, asegúrese de cifrarlos (con dm-crypt). Dado que el espacio de intercambio se reinicia en cada inicio, puede usar una clave aleatoria y de esta manera puede realizar un inicio desatendido (sin embargo, esto hace que la hibernación sea imposible).
Ponlo /tmpdebajo de tmpfs (de todos modos es una buena idea). Ver¿Cómo mover (de forma segura) /tmp a un volumen diferente?para saber cómo migrar /tmpa tmpfs.
Otras áreas en riesgo son la entrega de correo ( /var/mail) y la cola de impresión ( /var/spool/cups).
Respuesta2
Definitivamente deberías optar por luks, ya que está integrado con el kernel de Linux y funcionará de inmediato. Realmente no vale la pena usar otra solución, especialmente porque algunas de ellas no son compatibles AES-NI.
Para una discusión sobre qué cifrar, eche un vistazo a¿Alguna razón para cifrar /?pero dependiendo de su nivel de paranoia y sus necesidades de seguridad, simplemente cifrar /homepuede ser suficiente.