어떤 파티션을 암호화해야 합니까?

대부분의 시나리오에서는 다음 세 가지 구성표 중 하나가 잘 작동합니다.

특히 기밀 파일 몇 개만 암호화하고 싶습니다.

사용encf:

mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file

장점: 기밀이 아닌 파일에 액세스하는 데 드는 오버헤드가 없습니다. 서로 다른 비밀번호를 사용하여 서로 다른 계층 구조를 가질 수 있습니다. 암호화된 파일의 전체 계층 구조를 다른 시스템에 쉽게 복사할 수 있습니다. encf를 사용하기 위해 특별한 권한이 필요하지 않습니다.

단점: 암호화된 영역에 명시적으로 배치된 파일만 암호화합니다. 어쨌든 많은 파일을 암호화하려는 경우 디스크 수준 암호화보다 약간 느립니다.

전체 홈 디렉토리를 암호화하려고 합니다.

사용ecryptfs.

장점과 단점. 간단히 말해서, ecryptfs는 로그인 비밀번호를 사용하여 홈 디렉토리를 암호화하려는 경우 특히 효과적입니다. 이것은 설치 프로그램에 홈 디렉토리를 암호화하도록 지시하는 경우 Ubuntu가 사용하는 것입니다. 한 가지 단점은 SSH에 대한 키 인증을 사용하는 경우 공개 키가 암호화된 영역 외부에 배치되어야 하고 SSH에 접속한 후 비밀번호를 입력해야 하기 때문에 계정에 SSH로 연결하는 것이 더 어렵다는 것입니다.

전체 디스크 암호화.

사용DM-암호화제외한 모든 것을 암호화합니다 /boot.

장점: 모든 것이 암호화되므로 실수로 파일을 잘못된 위치에 놓을까 걱정할 필요가 없습니다. 블록 수준 암호화는 특히 프로세서에 AES용 하드웨어 가속기가 있는 경우 더 나은 속도를 제공합니다(AES-NIx86).

단점: 부팅 시 비밀번호를 제공해야 하므로 무인 부팅을 수행할 수 없습니다. 모든 것이 암호화되어 있으므로 프로세서가 느리면 속도가 느려질 수 있습니다.

일반 사항

전체 디스크 암호화를 사용하지 않는 경우 데이터의 일부 임시 복사본이 홈 디렉터리 외부에 있을 수 있다는 점을 기억하세요. 가장 확실한 예는 스왑 공간이므로 도둑이 데이터를 읽는 것을 방지하기 위해 암호화를 사용하려면 해당 데이터를 암호화해야 합니다(dm-crypt 사용). 스왑 공간은 부팅할 때마다 다시 초기화되므로 임의의 키를 사용할 수 있으며 이 방법으로 무인 부팅을 수행할 수 있습니다(그러나 이로 인해 최대 절전 모드가 불가능해집니다).

tmpfs 아래에 두십시오 /tmp(어쨌든 좋은 생각입니다). 보다/tmp를 다른 볼륨으로 (안전하게) 이동하는 방법은 무엇입니까?/tmptmpfs로 마이그레이션하는 방법에 대해 알아보세요 .

기타 위험에 노출된 영역은 메일 드롭( /var/mail) 및 인쇄 스풀러( /var/spool/cups)입니다.

Luks는 Linux 커널과 통합되어 있고 즉시 작동하므로 반드시 Luks를 선택해야 합니다. 다른 솔루션을 사용하는 것은 특히 그 중 일부가 지원하지 않기 때문에 실제로 가치가 없습니다 AES-NI.

무엇을 암호화할지에 대한 논의는 다음을 참조하세요./ 암호화된 이유가 있나요?하지만 편집증 수준과 보안 요구 사항에 따라 암호화만으로 /home충분할 수도 있습니다.