我將作業系統從 Windows 切換到 Ubuntu。在我的 Windows 系統上,我對整台筆記型電腦進行了加密,因此沒有正確的密碼,任何人都無法存取任何內容。現在我有 Ubuntu,而 TrueCrypt 不允許我加密整個系統。我考慮過加密我的整個 C 驅動器,但這行不通,不是嗎?
對於像 Windows 版本的 TrueCrypt 一樣的完整系統加密,Linux 的替代方案有哪些?
答案1
如果您確實想要全碟加密,則需要從 Ubuntu Server 或 Ubuntu Alternate 安裝程式進行安裝。在分割區部分,您可以選擇使用 LVM、dmcrypt 和 LUKS 進行全碟加密。
但是,Ubuntu 桌面圖形安裝程式支援透過點擊單一複選框對整個主目錄進行完全加密。當您選擇使用者名稱和密碼時,您將可以選擇「需要密碼才能登入和存取您的主目錄內容」。這是一種非常簡單、無縫的方法,可以對您儲存在主目錄中的私人資料進行加密保護。
僅 Ubuntu 版本 <=12.04 才需要此操作。從 12.10 開始,Ubuntu 及其圖形安裝程式提供了一個新選項,可以輕鬆實現全碟加密。
答案2
路克可能就是您正在尋找的。根據記憶,Oneiric 可以在安裝過程中為您設定。
答案3
首先 - 你應該有單獨的未加密的引導分割區,因為 linux,或更準確地說 grub 或其他引導程式無法從加密分割區引導。
其次 - 加密整個驅動器是不實際或絕對必要的。您應該為 /home 目錄設定單獨的分割區並僅加密該分割區。
若要加密您的 /home 目錄,您可以使用ecryptfs-migrate-home
eCryptfs 專案中的指令。
如果您確實需要在 Linux 上進行完整的系統加密 -你嘗試過搜尋嗎?此外,安裝後設定完整的系統加密也更加困難。
答案4
只是為了在這裡保留更好的選項列表 - 可以使用 Truecrypt 在 Linux 上實現 FDE(是的,全分割區加密、隱藏磁碟區或基於檔案的容器都是可能的;也可以從其他作業系統存取);您只需將一個由 init 腳本、靜態連結的 truecrypt 和許多所需的庫/二進位組成的最小 initrd 粘合在一起
我不想將我的 init 腳本/initrd 檔案清單放在這裡,而是給出一些想法:
umount -l /dev/; umount -l /proc/; umount -l /sys/
在更改為真正的 root 之前不要忘記做- 您可以使用
switch_root
或實現一個完整的init
子系統,它將切換到發行版的真實環境
另外,不要忘記添加一些針對邪惡女僕級攻擊的保護。