Я нашел следующий пример конфигурации для системного шифрования:
Пример 5: параноидальное шифрование системы
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
Однако никаких подробностей я не нашел.
Означает ли это, что возможно полное шифрование системы, при котором каждый раздел пользователя имеет свою собственную парольную фразу, так что, например, когда один пользователь вошел в систему, он не сможет прочитать данные другого пользователя, который не вошел в систему, потому что его данные зашифрованы? (Подобно тому, как это было бы в случае шифрования различных домашних разделов с помощью ecryptfs).
Может ли кто-нибудь предоставить подробную информацию о том, как это работает на практике и как это настроить в системе Ubuntu?
решение1
Если вам нужно шифрование для каждого пользователя, Ubuntu уже предлагает решение для этого, я полагаю. Он не использует dm-crypt/luksbut ecryptfsили что-то подобное, чтобы шифровать домашнюю директорию каждого пользователя по отдельности, используя зашифрованный слой поверх обычной файловой системы.
Что касается dm-crypt/luks, вам придется создать отдельный раздел или логический том для каждого пользователя, чтобы добиться того же результата.
Другая возможность заключается в том, что это относится к LUKS, поддерживающему несколько ключей для одного контейнера. Однако это ограничено 8 слотами ключей, так что это не очень практично, если только число ваших пользователей не настолько мало.
Вы также можете настроить цепную систему - дать пользователю ключ, который открывает главный ключ, который в свою очередь открывает контейнер. Я не думаю, что это действительно подходит для управления пользователями - это может быть полезно, если вы хотите предотвратить кражу/потерю USB-накопителя == потерю ключа.