安装时，我可以选择加密我的主文件夹——这有什么作用？

Question

• 加密我的主文件夹会使我的计算机更安全吗？
• 如果我的主文件夹被加密，我是否需要输入更多密码？
• 关于加密我的主文件夹，我还应该知道什么？

Answer 1

简单地

1. 加密您的主文件夹实际上并没有使您的计算机更安全 - 它只是使您的主文件夹中的所有文件和文件夹更安全，免于未经授权的查看。
   • 从安全角度来看，您的计算机仍然“易受攻击” - 但您的内容很难被盗（除非攻击者拥有您的密码）。
2. 您实际上不需要像平时那样输入密码 - 当您登录到您的计算机时，您的文件将在您的会话中无缝解密。
3. 有可能（取决于您的计算机硬件）这会影响您机器的性能。如果您更担心性能而不是安全（并且您使用的是旧机器），您可能希望禁用此功能。

技术上

Ubuntu 使用“eCryptfs”将所有数据作为加密数据存储在一个目录（本例中为主文件夹）中。当用户登录该加密文件夹时，将使用第二个解密挂载挂载（这是一个临时挂载，其工作方式类似于 tmpfs - 它在 RAM 中创建并运行，因此文件永远不会以解密状态存储在 HD 上）。这个想法是 - 如果您的硬盘驱动器被盗并且读取这些项目的内容无法读取，因为 Linux 需要使用您的身份验证运行以创建成功的挂载和解密（密钥是基于 SHA-512 加密的数据）几个用户方面 - 然后将密钥存储在您的加密密钥环中）。最终结果是技术上安全的数据（只要您的密码没有被破解或泄露）。

您不必像平时一样输入密码。磁盘 I/O 和 CPU 略有增加，这（取决于您的计算机规格）可能会影响性能 - 尽管它在大多数现代 PC 上是非常无缝的

Answer 2

Ubuntu 开发人员自己写了一篇关于该主题的好文章，请参阅：http : //www.linux-mag.com/id/7568/1/

概括：

• LUKS 和 dm-crypt 的组合用于在 Linux 中进行全盘加密。Ubuntu 使用版本 >= 9.10 的企业加密文件系统 (ECryptfs) 在登录时启用主驱动器加密。

• 创建上层和下层目录，其中上层目录未加密存储在 RAM 中，授予对系统和当前用户的访问权限。较低的目录通过原子的、加密的数据单元并存储在物理内存中。

• 文件名和目录名使用单个挂载范围的 fnek（文件名加密密钥）。每个加密文件的头部都包含一个 fek（文件加密密钥），并用一个单独的、挂载范围的 fekek（文件加密密钥，加密密钥）包装。Linux 内核密钥环管理密钥并通过其通用密码提供加密。

• 与典型的全盘加密解决方案不同，使用 eCryptfs PAM（可插拔身份验证模块）不会中断无人值守的重启。

• eCryptfs 分层文件系统支持按文件、增量、加密备份。

Answer 3

OP 要求的技术性回答较少。

与 Ubuntu 一样，通过 ecryptfs 加密 Home 的安全优势：

• 不需要记住或输入任何额外的密码或密钥。
• 不会使您的计算机在网络（例如 Internet）上更加安全。
• 如果计算机由多个用户共享，则为其他用户访问您的文件提供了额外的障碍。（困难的技术讨论。）
• 如果攻击者物理访问您的计算机，例如窃取您的笔记本，这将保护您的数据不被窃贼读取。（如果计算机处于关闭状态，没有您的密码，他们无法读取您的数据。如果计算机已开启且您已登录，小偷可能会窃取您的数据，但需要更高级的攻击，因此可能性较小。）

Answer 4

关于加密您的主文件夹，您还应该知道的是，当您未登录时，无法访问其中的数据。如果您有一些尝试访问这些数据的自动化或外部进程（如 crontab），它会很好用当你在看的时候，但当你不看的时候失败。这对调试非常令人沮丧。