Encontrei o seguinte exemplo de configuração para criptografia de sistema:
Exemplo 5: criptografia de sistema paranóico
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
Porém não encontrei nenhum detalhe.
Isso significa que é possível ter uma criptografia completa do sistema, onde cada partição de usuário tem sua própria senha, de modo que, por exemplo, quando um usuário está logado, ele não pode ler os dados de outro usuário que não está logado porque seus dados estão criptografados ? (Semelhante ao que aconteceria se você criptografasse diferentes partições iniciais com ecryptfs).
Alguém pode fornecer alguns detalhes de como isso funciona na prática e como configurá-lo em um sistema Ubuntu?
Responder1
Se você deseja criptografia por usuário, o Ubuntu já oferece uma solução para isso, acredito. Ele não usa dm-crypt/luksmas ecryptfsou similar, para criptografar o diretório inicial de cada usuário individualmente, usando uma camada criptografada sobre o sistema de arquivos normal.
Quanto a dm-crypt/luks, você teria que criar uma partição ou volume lógico separado para cada usuário para conseguir a mesma coisa.
Outra possibilidade é que se refira ao suporte do LUKS a múltiplas chaves para o mesmo contêiner. No entanto, isso é limitado a 8 slots de chave, o que não é muito prático, a menos que o número de usuários seja tão pequeno.
Você também pode configurar um sistema encadeado - fornecer ao usuário uma chave que desbloqueia uma chave mestra que, por sua vez, desbloqueia o contêiner. Eu não acho que seja realmente adequado para gerenciamento de usuários - pode ser útil se você quiser evitar roubo/perda de pendrive == perda de chave.