想要一个易于使用的 Linux 磁盘加密方案

Question

为了保护个人信息以防笔记本电脑被盗，我正在寻找加密 Linux 系统的最佳方法。

包括交换在内的全盘加密的缺点：

• 预启动密码提示有点丑陋和粗糙，隐藏在启动消息中（像 Splashy 这样的东西可以处理这个吗？）
• 需要登录两次（如果您有 GDM 登录屏幕并且需要多个用户）

使用 libpam-mount 或类似工具加密单个文件夹的缺点：

• 只有用户的主文件夹被加密（而 /etc、/var 等也可能包含敏感信息）。
• 交换文件未加密，因此可能会泄漏敏感数据
• 没有办法安全地休眠。

如果重要的话，我正在使用 Debian Linux。不需要非常安全，但要让小偷放心，如果在关闭/休眠时被盗，小偷无法窃取我的身份、银行帐户详细信息、VPN 登录信息等。

你知道解决我上述任何问题的方法吗？

Answer 1

您的问题很常见：​​主要是安全性和可用性之间的困难平衡。

我的建议是使用混合方法的稍微修改版本：

• 使用 TrueCrypt 等跨平台软件为您不每天使用的个人数据准备一个或多个加密卷（银行详细信息、保存的密码、医疗记录等）
• 使用多个卷的原因是您可能希望将它们备份到不同的媒体上，或使用不同的加密方案：例如，您可能希望与其他人共享您的健康记录并告诉他们您的密码（应该是用于其他卷的不同）
• 使用“标准”跨平台软件意味着如果您的笔记本电脑被盗/损坏，您将能够即时从另一个操作系统恢复您的数据
• 全盘加密通常既麻烦又困难。尽管有针对它的攻击（请参阅Evil Maid Attack，如果您担心如果人们可以访问整个系统会发生什么，那么它就会很有用。例如，如果您使用的是公司笔记本电脑，则没有管理访问权限，并且存在不应被盗的 VPN 密钥
• 邮件/网络/应用程序的缓存密码是另一个问题：也许您可能只想加密您的主目录？要优化性能和安全性/可用性，您可以：
  • 加密所有家庭目录
  • 软链接到文件系统上的非加密目录，以获取您不关心丢失的数据（音乐、视频等）

同样，不要忘记，与您的时间价值和恢复成本相比，一切都归结为您必须失去的价值。