nik*_*tiu 10 encryption lvm root-filesystem
我是 linux 的忠实粉丝,喜欢时不时尝试新的发行版。我通常将我的主文件夹和根目录放在加密分区上的 lvm 中,但这往往会变得很麻烦,因为每个 initramfs 创建过程都比上一个更陌生。
我重视隐私,但我的大部分宝贵信息或个人信息都存储在主文件夹中。此外,我使用 GPT 进行了分区,因此即使在 lvm 之外设置多个分区也不难。
所以问题是:根加密和“/”的 lvm-ing 是否值得,尤其是我必须处理的所有早期用户空间麻烦?
Ulr*_*gel 13
首先,加密根和早期用户空间的麻烦通常已经由您的发行版处理(据我所知,Fedora、Debian、Ubuntu 和 OpenSUSE 支持开箱即用的加密根)。这意味着您不必关心设置本身。
加密/ 的一个原因是为了确保您根本不会泄露任何信息。考虑将临时数据写入/tmp 的程序、包含敏感信息(如/var/log 中的用户名/密码)的日志文件或包含凭据(如/etc/fstab 中的密码或 root 用户的 shell 历史记录中的某些命令)的配置文件。
使用 LVM 而不是分区有一个很大的好处,您可以轻松地调整大小/重命名/删除逻辑卷,而无需重新分区您的磁盘本身,这比使用分区(GPT 或 MBR)更方便
War*_*ung 11
/etc, /var, 并/tmp浮现在脑海中。所有都可能包含敏感内容。所有这些都可以被赋予单独的卷,但它们中的每一个都与根目录位于同一文件系统上是很常见的。也许您已经将一个或多个移到它们自己的卷中,但是您是否将它们全部移到了它们中?
/etc 包含:
散列密码;可能有多种类型,例如/etc/shadow和/etc/samba/smbpasswd
各种私钥:SSL、SSH、Kerberos...
/var 包含:
/var/log,其中许多内容旨在由 root 只读,因为它们可能包含敏感数据;例如,/var/log/httpd/access_log可能包含网站用户未加密的 GET 数据,因此可能是敏感的。
数据库文件;MySQL的一般存储其表和索引文件/var/lib/mysql,例如
/tmp包含临时文件,这听起来可能不敏感,但是由于能够在进程尝试使用临时文件时修改或狙击临时文件,因此有很多针对 Unix 软件的攻击涉及竞争条件。我知道在许多情况下,文件内容仅在短期内(即不通过重新启动)敏感,但我想有些程序可能取决于粘性位和mkstemp(3) 的行为来临时缓存长期存在的敏感信息数据也是。
| 归档时间: |
|
| 查看次数: |
14819 次 |
| 最近记录: |