На моем ноутбуке сейчас установлены Windows и Fedora, но я планирую вскоре установить Arch Linux в качестве единственной ОС. Эта текущая настройка использует шифрование всего диска через TrueCrypt, но я не уверен, может ли это быть для меня ненужным.
Думаю, я буду использовать довольно простую схему разбиения, что-то вроде: /, /boot, /homeи swap.
Я использую свой ноутбук для обычных повседневных задач, программирования, тестирования на локальном веб-сервере или на виртуальном веб-сервере, воспроизведения аудио/видео, редактирования/записи аудио и т. д.
Я хочу зашифровать свою следующую установку Arch only, но не могу решить, разбить ли на разделы весь диск, только домашний раздел или что-то еще. Я хочу зашифровать систему в основном для защиты возможных потерянных/украденных данных.
Я думаю, что dm-crypt с LUKS будет лучшим выбором, но я не уверен.
Что выбрать и почему?
решение1
В большинстве случаев хорошо работает одна из следующих трех схем.
Вам нужно зашифровать только несколько особенно конфиденциальных файлов.
Использоватьencfs:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
Плюсы: никаких накладных расходов на доступ к неконфиденциальным файлам; можно иметь разные иерархии с разными паролями; можно легко скопировать всю иерархию зашифрованных файлов на другую машину; для использования encfs не нужны специальные разрешения.
Минусы: шифрует только файлы, явно помещенные в зашифрованную область; немного медленнее, чем шифрование на уровне диска, если вы в любом случае собираетесь шифровать много файлов.
Вы хотите, чтобы весь ваш домашний каталог был зашифрован.
Использоватьecryptfs.
За и против. В двух словах, ecryptfs работает особенно хорошо, когда вы хотите зашифровать свой домашний каталог с помощью пароля для входа; это то, что использует Ubuntu, если вы говорите установщику зашифровать ваш домашний каталог. Один из недостатков заключается в том, что сложнее войти в вашу учетную запись по ssh, поскольку если вы используете аутентификацию по ключу для ssh, ваш открытый ключ должен быть размещен за пределами зашифрованной области, и вам нужно будет ввести свой пароль после входа по ssh.
Шифрование всего диска.
Использоватьdm-криптдля шифрования всего, кроме /boot.
Плюсы: все зашифровано, поэтому вам не придется беспокоиться о том, что вы случайно поместите файл не в то место; шифрование на уровне блоков обеспечивает более высокую скорость, особенно если ваш процессор оснащен аппаратным ускорителем для AES (AES-NIна x86).
Минусы: необходимо ввести пароль во время загрузки, поэтому нельзя выполнить автоматическую загрузку; все зашифровано, что может замедлить работу, если у вас медленный процессор.
Главные примечания
Если вы не используете полное шифрование диска, помните, что некоторые временные копии ваших данных могут оказаться за пределами вашего домашнего каталога. Самый очевидный пример — это пространство подкачки, поэтому, если вы собираетесь использовать шифрование, чтобы вор не мог прочитать ваши данные, обязательно зашифруйте его (с помощью dm-crypt). Поскольку пространство подкачки повторно инициализируется при каждой загрузке, вы можете использовать для него случайный ключ, и таким образом вы сможете выполнить автоматическую загрузку (однако это делает гибернацию невозможной).
Поместить /tmpв tmpfs (в любом случае это хорошая идея). СмотритеКак (безопасно) переместить /tmp на другой том?как перейти /tmpна tmpfs.
Другими зонами риска являются почтовый ящик ( /var/mail) и диспетчер очереди печати ( /var/spool/cups).
решение2
Вам определенно следует использовать luks, поскольку он интегрирован с ядром Linux и будет работать из коробки. Использование других решений не имеет смысла, особенно потому, что некоторые из них не поддерживают AES-NI.
Для обсуждения того, что шифровать, посмотритеЕсть ли причина для зашифрованного /?но в зависимости от уровня вашей паранойи и потребностей в безопасности /homeможет быть достаточно простого шифрования.