我的筆記型電腦目前運行的是 Windows 和 Fedora,但我計劃很快安裝 Arch Linux 作為我唯一的作業系統。目前的設定透過 TrueCrypt 使用整個磁碟加密,但我不確定它對我來說是否不必要。
我想我將使用一個稍微簡單的分區方案,例如:/、/boot和。/homeswap
我使用筆記型電腦進行日常 PC 使用、編程、在本地 Web 伺服器或虛擬 Web 伺服器上進行測試、音訊/視訊播放、音訊編輯/錄製等。
我也想加密我的下一個僅 Arch 設置,但我無法決定是否對整個磁碟進行分割區,僅對主分割區或其他分割區進行分割。我想加密系統主要是為了保護最終遺失/被盜的資料。
我認為 dm-crypt 和 LUKS 將是我最好的選擇,但我不確定。
我應該選擇什麼以及為什麼?
答案1
在大多數場景下,以下三種方案之一效果良好。
您只想加密一些特別機密的文件。
使用環境檔案系統:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
優點:存取非機密文件沒有開銷;您可以擁有不同的層次結構和不同的密碼;您可以輕鬆地將加密檔案的整個層次結構複製到另一台電腦;您不需要任何特殊權限即可使用 encfs。
缺點:僅加密明確放置在加密區域的檔案;如果您要加密大量文件,則比磁碟級加密慢一點。
您希望對整個主目錄進行加密。
使用加密檔案系統。
優點和缺點。簡而言之,當您想要使用登入密碼加密您的主目錄時,ecryptfs 特別有效;如果你告訴安裝程式加密你的主目錄,Ubuntu 就會使用這個方法。缺點之一是透過 ssh 登入您的帳戶更加困難,因為如果您使用 ssh 金鑰身份驗證,則您的公鑰必須放置在加密區域之外,並且您需要在 ssh 登入後輸入密碼。
全盤加密。
使用dm 密碼加密除 之外的所有內容/boot。
優點:所有內容都經過加密,因此您不必擔心不小心將文件放在錯誤的位置;區塊級加密可提供更好的速度,特別是如果您的處理器具有 AES 硬體加速器(AES-NI在 x86 上)。
缺點:啟動時需提供密碼,無法實現無人值守啟動;所有內容均已加密,如果您的處理器速度較慢,則速度可能會很慢。
一般注意事項
如果您不進行全碟加密,請記住,資料的某些臨時副本可能最終會出現在您的主目錄之外。最明顯的例子是交換空間,因此如果您要使用加密來防止小偷讀取您的數據,請確保對其進行加密(使用 dm-crypt)。由於交換空間在每次啟動時都會重新初始化,因此您可以為其使用隨機金鑰,這樣您就可以進行無人值守的啟動(但是,這使得休眠變得不可能)。
放在/tmptmpfs 下(無論如何這是一個好主意)。看如何(安全)將 /tmp 移到不同的磁碟區?了解如何遷移/tmp到 tmpfs。
其他有風險的區域是郵件投遞 ( /var/mail) 和後台列印程序 ( /var/spool/cups)。
答案2
您絕對應該使用 luks,因為它與 Linux 核心整合並且開箱即用。使用其他解決方案並不值得,特別是因為其中一些解決方案不支援AES-NI.
加密內容的討論請參閱有什麼理由加密/?但根據您的偏執程度和安全需求,僅加密/home可能就足夠了。