我找到了以下系統加密範例配置:
範例5:偏執系統加密
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
不過我沒有找到任何細節。
這是否意味著可以進行完整的系統加密,其中每個用戶分區都有自己的密碼,例如當一個用戶登入時,他無法讀取另一個未登入用戶的數據,因為他的數據已加密? (與使用 加密不同主分割區的情況類似ecryptfs)。
那麼有人可以提供一些詳細資訊嗎?
答案1
如果你想要每個用戶加密,我相信 Ubuntu 已經提供了一個解決方案。它不使用dm-crypt/luksbutecryptfs或類似的方法,使用常規檔案系統之上的加密層來單獨加密每個使用者的主目錄。
至於dm-crypt/luks,您必須為每個使用者建立一個單獨的分割區或邏輯磁碟區才能實現相同的目的。
另一種可能性是它指的是 LUKS 支援同一容器的多個金鑰。然而,這僅限於 8 個鍵槽,因此不太實用,除非您的使用者數量那麼少。
您也可以設定一個鍊式系統 - 為使用者提供一把鑰匙,該鑰匙可以解鎖主鑰匙,而主鑰匙又可以解鎖容器。不過,我認為它並不真正適合用戶管理 - 如果您想防止 USB 記憶棒被盜/丟失 == 密鑰丟失,它可能會很有用。