我正在考虑加密我的笔记本电脑的内容,它运行 Ubuntu 10.04 并且有一个 ext4 + 交换,我想知道这里有什么最好的选择。我知道:
如果我想至少加密 /var、/home、/tmp、/etc 和交换(认为这几乎涵盖了最敏感的数据,假设我没有将秘密应用程序安装到 /usr 或任何东西中)。一些指导性问题:
我意识到之前有关于 Linux 中磁盘加密的讨论,但它们往往只涵盖上述选项和问题的子集。感谢您的任何指导。
如果我提供密码短语,是否有任何磁盘映像软件可以智能地获取加密 LVM 分区的映像?
我指的是类似于Clonezilla和Norton Ghost的软件....扫描分区,将映像保存到另一个驱动器上的文件,然后可以使用该映像覆盖分区以将系统恢复到保存状态.
“智能”是指仅对分区的已用空间进行成像并压缩图像中的数据,就像那些成像软件程序可以对常规未加密分区执行的操作一样。各种软件可以对整个原始加密 LVM 进行映像,但是如果无法使用我的密码进行解密,它就不会知道什么是可用空间,因此它会对整个事物进行映像并且加密数据将无法压缩。
我在看 FreeOTFE,我不知道它是否与最新的 TrueCrypt 兼容。启动后,它立即导致错误消息:
FreeOTFEExplorer.exe has encountered a problem and needs to close. We are sorry for the inconvenience.
AppName: freeotfeexplorer.exe AppVer: 3.51.0.0 ModName: kernel32.dll
ModVer: 5.1.2600.5781 Offset: 00012afb
请帮我让它运行。
更新:在另一个系统上,我能够让它运行,但它无法挂载任何东西,说一些关于缺少哈希驱动器的问题。
如果您愿意,您可以回答为什么 TrueCrypt 本身不提供不依赖于驱动程序的功能。是的,他们说管理员可以监视用户,但这仍然比没有安全性要好。另外,与 FreeOTFE 相比,为什么不使用驱动程序的 FreeOTFE Explorer 支持受限?
我已经考虑加密我的笔记本电脑硬盘驱动器一段时间了,但唯一阻碍我的是我的 Microsoft SQL Server 2008 安装。我使用我的笔记本电脑进行开发,并且在笔记本电脑上还有一些我想保密的私人信息,但同时我也不想削弱我开发应用程序的能力。(我目前在华硕 i5 笔记本电脑上运行 64 位 Windows 7。)
我曾想过创建一个不会加密的新分区并将我的 SQL 数据文件复制到该驱动器 - 因为这些数据库中只会有非敏感的虚拟数据。因此,我的数据库服务器不必通过加密分区来读取/写入文件。
有没有人有过加密开发笔记本电脑的驱动器而不会对性能造成任何重大影响的经验?
encryption windows-7 truecrypt disk-encryption sql-server-2008
我有一台 WD Essentials MyBook,它作为我在 Snow Leopard 上的 Time Machine 音量运行良好。我已经升级到 Lion,现在磁盘访问速度真的很慢。
我试图将磁盘从盒中取出,然后将其插入 SATA,但它显示磁盘“无法初始化”。
进行了一些研究后发现,无论您在 WD Tools 中启用加密还是设置密码,MyBook SATA <> USB 桥接器都可以即时进行硬件加密。
有谁知道我可以在不通过解密桥的情况下从该磁盘中提取数据的方法?我已经对磁盘进行了磁盘检查,它恢复正常,这让我认为问题出在球童上。
是否存在允许加密 Windows 7 系统卷同时提供在启动阶段通过 ssh 远程解锁它的可能性的工具/方法?Windows 7 甚至有可能(我想应该是)?
在 linux 上,LUKS 加密的 rootfs可以在引导阶段通过 ssh 解锁(也参见/usr/share/doc/cryptsetup/README.remote.gzDebian)。
所述DiskCryptor项目带有一个功能强大的引导程序,其允许通过经由USB或LAN解锁它(自动提供先前硬编码口令)引导的加密系统的体积。但是,我发现无法通过 ssh 连接输入所需的解锁密码,而且我绝对不想在某处(甚至在我(希望)安全 LAN 中也不行)对密码进行硬编码。
因此,与 LUKS 方法类似的解决方案很可能涉及一个单独的未加密启动分区,其中包含一个 ssh 服务器和一些启动魔法,用于处理解锁并允许使用 Windows 7 链加载加密系统分区。
这样的东西是否存在或正在开发中?
我有一台华硕机器,我可以在旧 BIOS 和新 UEFI 之间进行选择。我一直使用旧的 BIOS 系统,运行具有以下配置的完全加密的 Debian:
一个未加密的启动分区安装在 /boot
其余所有空间都使用 LUKS 加密,并在其上包含所有 LVM 逻辑卷(/、交换、/home)。
一切正常,没有问题。但是,如果我想使用 UEFI 从头开始进行新安装(我不想转换东西),我一直在徘徊,并且我必须创建挂载在 FAT32 EFI 分区/boot/efi,我还需要未加密的/boot分区,还是只需要EFI 分区和所有其他加密?
换句话说,哪种配置是正确的?
/boot/efi/boot 或者
/boot/efi 没想到我的要求太特别了,但是我的搜索确实没有得到太多结果,所以我仍然有一些问题没有得到解答。
基本上,我正在获得新硬件,并将在我的系统上进行完整的重新安装。由于我的新主板具有 UEFI(就像他们现在所做的那样),我想切换 - 但似乎没有任何简单的方法来满足我的要求:
不需要让 TPM/安全启动工作,我的主板无论如何都没有 TPM。
作为奖励,如果可能,我只想输入一次我的加密密码
我当前的系统使用 LUKS 进行 Linux 系统加密,使用 Truecrypt 进行 Windows 系统加密和共享分区。这样,我只需要在 Windows 系统启动时输入密码一次(truecrypt 调用它的预启动身份验证),并且只需要在 Linux 中输入一次(对于 LUKS - 密码存储在内核密钥环中并在我的 truecrypt 脚本中使用)添加到新贵,一旦我让脚本工作,就像一个魅力)
不幸的是,Truecrypt 引导加载程序还不能处理 GPT。所以有3个选择
最后一个设置看起来可以工作,但对 Linux 的 bitlocker 支持是非常测试版的 atm,并且似乎没有简单的方法来自动挂载 bitlocker 加密分区。因此,唯一真正有效的解决方案是用于 Windows 系统的 bitlocker、用于 linux 系统的 luks 和用于共享分区的 truecrypt,但这需要 …
正如标题所述,我需要知道是否有一种方法可以添加不需要用户重新输入密码/为已经打开的 luks 卷提供密钥文件的密钥。我实际上需要实现它,所以一个例子将不胜感激。
我有一个 1 TB 的创见外置硬盘。它包含两个大小相似的分区,其中一个 (400 GB) 使用 VeraCrypt 加密。
今天,在我处理完加密分区内的文件后,我单击了应用程序主窗口中的“全部卸载”按钮。它没有像我预期的那样成功卸载,而是给了我一条错误消息,指出某些文件仍在使用中。但是,我没有注意到警告并物理断开了外部硬盘驱动器与 PC 的连接。回头看,硬盘上的灯仍然闪烁,所以即使我已经关闭了可以使用这些文件的应用程序,也正在做一些事情。
现在每次我尝试在 VeraCrypt 中挂载分区时,它都会给我以下错误消息:
Operation failed due to one or more of the following:
- Incorrect password.
- Incorrect Volume PIM number.
- Incorrect PRF (hash).
- Not a valid volume.
Source: MountVolume:8031
我确信我使用的密码是正确的。我每天都在输入它,并将它保存在不同的位置。也没有更改任何设置,一切都相同。
我尝试使用挂载选项中的“使用嵌入在卷中的备份标头(如果可用)”选项。这没用。我没有单独的标题备份。
是否可以恢复加密分区中的数据?我该怎么做呢?
我正在使用 VeraCrypt 的最新稳定版本。
encryption data-recovery disk-encryption partition-recovery veracrypt
disk-encryption ×10
truecrypt ×4
lvm ×3
boot ×2
encryption ×2
luks ×2
uefi ×2
windows-7 ×2
backup ×1
bitlocker ×1
disk-image ×1
dm-crypt ×1
ecryptfs ×1
linux ×1
macos ×1
multi-boot ×1
non-admin ×1
remote ×1
ssh ×1
time-machine ×1
ubuntu ×1
usb ×1
veracrypt ×1