Atualmente, meu laptop está executando Windows e Fedora, mas estou planejando instalar o Arch Linux como meu único sistema operacional em breve. Esta configuração atual usa criptografia de disco inteiro por meio de TrueCrypt, mas não tenho certeza se isso pode ser desnecessário para mim.
Acho que usarei um esquema de partição um tanto simples, algo como: /, /boot, /homee swap.
Estou usando meu laptop para uso diário médio do PC, programação, testes em servidor web local ou em um servidor web virtual, reprodução de áudio/vídeo, edição/gravação de áudio, etc.
Também quero criptografar minha próxima configuração apenas do Arch, mas não consigo decidir se particiono o disco inteiro, apenas a partição inicial ou qualquer outra coisa. Quero criptografar o sistema principalmente para proteger eventuais dados perdidos/roubados.
Estou pensando que dm-crypt com LUKS seria minha melhor escolha, mas não tenho certeza.
O que devo escolher e por quê?
Responder1
Na maioria dos cenários, um dos três esquemas a seguir funciona bem.
Você deseja criptografar apenas alguns arquivos particularmente confidenciais.
Usarencfs:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
Prós: sem sobrecarga para acessar arquivos não confidenciais; você pode ter hierarquias diferentes com senhas diferentes; você pode copiar facilmente toda uma hierarquia de arquivos criptografados para outra máquina; você não precisa de nenhuma permissão especial para usar o encfs.
Contras: criptografa apenas arquivos explicitamente colocados na área criptografada; um pouco mais lento que a criptografia em nível de disco se você for criptografar muitos arquivos de qualquer maneira.
Você deseja que todo o seu diretório inicial seja criptografado.
Usarecryptfs.
Prós e contras. Resumindo, o ecryptfs funciona especialmente bem quando você deseja criptografar seu diretório pessoal usando sua senha de login; isso é o que o Ubuntu usa se você instruir o instalador a criptografar seu diretório pessoal. Uma desvantagem é que é mais difícil fazer ssh em sua conta, porque se você estiver usando autenticação de chave para ssh, sua chave pública deverá ser colocada fora da área criptografada e você precisará digitar sua senha após fazer o ssh.
Criptografia de disco inteiro.
Usardm-criptapara criptografar tudo, exceto /boot.
Prós: tudo é criptografado, então você não precisa se preocupar em colocar acidentalmente um arquivo no lugar errado; a criptografia em nível de bloco fornece melhor velocidade, especialmente se o seu processador tiver um acelerador de hardware para AES (AES-NIem x86).
Contras: você precisa fornecer a senha no momento da inicialização, para não poder fazer uma inicialização autônoma; tudo é criptografado, o que pode ser lento se o seu processador for lento.
Notas gerais
Se você não optar pela criptografia completa do disco, lembre-se de que algumas cópias temporárias dos seus dados podem acabar fora do seu diretório inicial. O exemplo mais óbvio é o espaço de troca, então se você for usar criptografia para evitar que um ladrão leia seus dados, certifique-se de criptografá-los (com dm-crypt). Como o espaço de troca é reinicializado a cada inicialização, você pode usar uma chave aleatória para ele e, dessa forma, fazer uma inicialização autônoma (no entanto, isso torna a hibernação impossível).
Coloque /tmpem tmpfs (é uma boa ideia de qualquer maneira). VerComo mover (com segurança) /tmp para um volume diferente?para saber como migrar /tmppara tmpfs.
Outras áreas de risco são o envio de correspondência ( /var/mail) e o spooler de impressão ( /var/spool/cups).
Responder2
Definitivamente, você deve escolher o luks, pois ele está integrado ao kernel do Linux e funcionará imediatamente. Usar outra solução não vale a pena, especialmente porque algumas delas não suportam AES-NI.
Para uma discussão sobre o que criptografar, dê uma olhada emAlgum motivo para criptografia /?mas dependendo do seu nível de paranóia e das necessidades de segurança, apenas a criptografia /homepode ser suficiente.