标签: disk-encryption

我一直被要求为我们的移动用户查看全盘加密软件。我们在域上运行 Windows XP SP3 PC，我的理解是我们不会升级到 Vista，目前也没有升级到 Windows 7 的计划。这似乎排除了 Bitlocker。我们想看看两种不同类型的解决方案：

1. 一种 Active Directory 集成解决方案，可同步域帐户和密码以单点登录到 PC。如果可以将解密/加密磁盘访问权限委托给帮助台上的非域管理员，则此解决方案应允许域管理员访问任何加密驱动器并获得奖励积分。
2. 一种在每台 PC 上单独运行或以某种工作组模式运行的解决方案，允许使用单个主密码来解密笔记本电脑的驱动器。对于最终用户单点登录，与域用户帐户和密码同步也很好。

解决方案必须可靠（例如，当用户在路上被迫更改域密码时不会丢失密码同步。）这是一家小商店，因此易于管理很重要。

由于其最近的安全漏洞，其权力可能会排除 TrueCrypt，但就问题而言，我想听听它如何满足这些要求。与 BitLocker 相同 - 由于缺乏升级 Windows 的愿望，它可能被排除在外，但我对它在 Vista/Windows 7 上所做的工作很感兴趣。

我有大约 30 台（这个数字在未来几年很可能会增长到 50 台或更多）未加密的笔记本电脑，我的任务是加密（整个驱动器）。我的用户将定期在场外使用这些机器。这些机器运行的是 Windows 7 和 XP（大约 50/50），但每个月都有更多的 Windows 7。我有使用 Truecrypt 的经验，并且没有遇到任何问题。它似乎是免费解决方案的解决方案。

我对 Truecrypt 的担忧是我的用户将需要 2 个密码才能登录到他们的机器。此外，我需要选择为我的组织设置 1 个密码，或者仔细记录每台机器的密码（管理噩梦）。在我看来，在托管和免费加密解决方案之间进行选择主要基于将被加密和支持的机器数量。

两个问题：

1. 从管理的角度来看，托管解决方案比 Truecrypt 更能收回成本的用户的临界点是什么？
2. 有哪些好的第三方解决方案？（我会考虑 Bitlocker，但升级 Windows 7 许可证的价格是关闭的）

我很想听听一些在公司环境中支持加密机器方面有经验的管理员。

提前谢谢了！

我正在编写一个 Chef LWRP 来向 LUKS 容器添加一个密钥，但我很难想出一种方法来确定我的密钥是否已经存在。 cryptsetup luksAddKey会很高兴地多次添加相同的密钥文件，所以我不能简单地继续调用luksAddKey每个 Chef 运行。

到目前为止，我想出的最好的是

cryptsetup luksDump /dev/xvdf1 --dump-master-key --key-file <thenewkey> > /dev/null

那看起来：

1. CPU 密集型
2. 不是很安全

有人有更好的主意吗？

谢谢！

我有一些服务器我想保留在加密磁盘上，但我不想在每次启动时都手动输入密码。我也不想让机器上的密钥未加密。TPM 在这里很合适，但如果有人偷了整台机器怎么办？

如果我建立了一个“集群”，其中每台机器只将另一台机器的密钥存储在静态加密的东西上怎么办？所以现在，只有当集群中的所有机器都同时离线时，才会手动提供密码，但仅限于其中一台机器上。

每个节点都有一个带有 dropbear 实例的 initramdisk 和几个脚本，它们将：

1. 尝试检测集群中的其他节点。
2. 向其他节点发送一些请求以通过 ssh 返回并登录，并提供本地根文件系统的密钥。
3. 如果群集中没有主机，或者没有主机具有适当的 ssh 密钥，请提示输入密码。

这样，任何地方都不会存储未加密的密钥，而且我可以重新启动我的所有服务器，只要至少有一个在给定的时间保持运行。如果他们一下子都挂了，我必须输入密码。

这会是一个安全的解决方案吗？如果没有，是否可以修改基本思想以使其成为一个安全的解决方案？

（此外，这种类型的设置是否有现有名称？）

我在 CentOS 5 上使用 cryptsetup luks 加密对一堆硬盘进行了加密。一切都很好，直到我将系统升级到 CentOS 6。现在我无法再挂载磁盘了。

使用我的关键词安装：

sudo cryptsetup luksOpen /dev/sdc1 d2

我收到此错误：

device-mapper: reload ioctl on  failed: Invalid argument
Failed to setup dm-crypt key mapping for device /dev/sdc1.
Check that kernel supports aes-xts-plain64 cipher (check syslog for more info).
Failed to read from key storage.

在 /var/log/messages 中：

Feb  3 23:43:23 data kernel: device-mapper: table: 253:0: crypt: Device lookup failed
Feb  3 23:43:23 data kernel: device-mapper: ioctl: error adding target to table

关于如何安装有什么想法吗？

我的一位客户要求对他们的 Web 服务器进行加密，以防止对 mysql 数据库和 /var/log 中包含的高度敏感数据的离线攻击。我对流行主机上的专用服务器拥有完全的 root 访问权限。我正在考虑 3 个选项 -

1. FDE - 这将是理想的，但只有远程访问（没有控制台）我想这会非常复杂。

2. Xen - 安装 XEN 并在 XEN 虚拟机中移动他们的服务器并加密 VM -这似乎更容易远程完成。

3. 分区 - 加密敏感数据所在的非静态分区，例如 /var /home 等。

满足要求的简单方法是什么？

我已经阅读了一些关于使用 cryptsetup 设置加密文件系统的教程。它们都从以下随机文件的创建开始

dd if=/dev/urandom of=/etc/cryptfile bs=1M count=10

该文件将进一步用于创建环回设备。给出的随机文件的原因通常是因为攻击者将无法找到文件的哪些部分用于写入以及哪些部分是空的。我的问题是，既然环回设备在我们写入文件系统时会以任何方式被格式化，那么我们为什么首先要关心它的随机化呢？

我有一个服务器，我设置了它的根分区完全加密。我迫切需要在启动时禁用密码对话框，因为它不会让服务器在断电后启动，它已经发生了。

有没有什么方法可以让系统自动启动进入加密系统而不要求密码？也许将密码短语作为参数传递给某个内核参数，但我还没有找到有关此类内容的任何信息。谢谢。

我在尝试时收到“此密码没有可用的密钥。 ”：

sudo cryptsetup open --type luks /dev/sdc storage --key-file=/path/to/keyfile

该/path/to/keyfile文件仅包含纯文本形式的密码。

如果我在交互式询问时输入相同的密码：

sudo cryptsetup open --type luks /dev/sdc storage

然后就可以了。

为什么--key-file在这种情况下不起作用？这是 Ubuntu 14.04 @ Linux 3.13.0-68。

我有一台装有 McAfee SafeBoot Whole Disk Encryption 的机器。如果我没有安全启动密码，我可以从操作系统安装盘启动，格式化磁盘并重新安装操作系统吗？这是否会破坏我的主引导记录，因为它也是加密的？

后续：我能够从 CD 启动，格式化磁盘并重新安装操作系统