시스템 암호화에 대한 다음 예제 구성을 찾았습니다.
예시 5: 편집증적 시스템 암호화
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
그러나 나는 어떤 세부 사항도 찾지 못했습니다.
예를 들어 한 사용자가 로그인하면 데이터가 암호화되기 때문에 로그인하지 않은 다른 사용자의 데이터를 읽을 수 없도록 각 사용자 파티션에 자체 암호 문구가 있는 전체 시스템 암호화가 가능하다는 의미입니까? ? (다른 홈 파티션을 으로 암호화하는 경우와 유사합니다 ecryptfs).
그렇다면 누군가 이것이 실제로 어떻게 작동하는지, 우분투 시스템에서 설정하는 방법에 대한 세부 정보를 제공할 수 있습니까?
답변1
사용자별 암호화를 원할 경우 Ubuntu는 이미 그에 대한 솔루션을 제공하고 있습니다. 일반 파일 시스템 위에 암호화된 계층을 사용하여 각 사용자의 홈 디렉터리를 개별적으로 암호화하는 데는 사용하지 않지만 dm-crypt/luks이와 유사합니다.ecryptfs
의 경우 dm-crypt/luks동일한 결과를 얻으려면 각 사용자에 대해 별도의 파티션이나 논리 볼륨을 만들어야 합니다.
또 다른 가능성은 동일한 컨테이너에 대해 여러 키를 지원하는 LUKS를 참조한다는 것입니다. 그러나 키 슬롯은 8개로 제한되므로 사용자 수가 그렇게 적지 않으면 그다지 실용적이지 않습니다.
연결된 시스템을 설정할 수도 있습니다. 사용자에게 마스터 키를 잠금 해제하는 키를 제공하면 마스터 키가 컨테이너의 잠금을 해제할 수 있습니다. 하지만 사용자 관리에는 별로 적합하지 않다고 생각합니다. USB 스틱의 도난/분실 == 키 분실을 방지하려는 경우 유용할 수 있습니다.