Aar*_*ngs 1 linux disk-encryption ecryptfs luks dmcrypt
这是一个我已经困惑了一段时间的加密主题。根据我对 LUKS 的理解,一旦使用密码打开 LUKS 卷并安装了生成的设备映射器设备,就可以读取和写入它,直到它关闭/卸载为止,而实际的磁盘格式数据采用加密形式。
假设在打开和挂载 LUKS 卷时发生了服务器入侵,从而导致 root 帐户的密码被 SSH 泄露并入侵。攻击者现在将拥有对设备的完全读/写访问权限。
将此与基于文件的加密系统(例如 eCryptfs)进行比较。如果发生对 root 帐户的破坏并且我将敏感数据存储在 /home/secure(使用 eCryptfs 加密)中 - 攻击者将无法访问它,因为 /home/secure 目录不仅仅是用密码“解锁”,就像 LUKS 一样。
我在这里完全误解了什么吗?我觉得我已经从关于 LUKS 的大量信息中完成了我的研究,但是我还没有发现任何关于安装 LUKS 卷时闯入的影响的讨论。感谢您提供任何见解或澄清!
DM-Crypt、Bitlocker、Truecrypt 等全盘加密系统主要侧重于针对离线物理攻击的安全性。通过强大的密钥/短语,它们可以防止您的驱动器/计算机在被物理窃取后被解密。它们很少或根本不提供针对操作系统攻击的保护。如果您的操作系统正在运行,并且特权帐户遭到破坏,则攻击者基本上可以完全访问特权帐户可以访问的任何信息。
像 eCryptfs 这样的按需文件加密工具将提供一些额外的保护,但即使这样也不是万无一失的。如果攻击者破坏了您的系统,并且您提供了密码来解密您的文件,他们可能会获得您的密码。如果您的文件已经以未加密的方式打开,他们将/可能能够访问它们。
所以你基本上需要明白加密是一个强大的安全层。这不是一个完整的解决方案。您还必须加强和保护操作系统免受入侵。您应该采取措施尝试在尽可能短的时间内解密任何真正重要的数据。安全必须分层进行。
| 归档时间: |
|
| 查看次数: |
1263 次 |
| 最近记录: |