我的笔记本电脑目前运行的是 Windows 和 Fedora,但我打算尽快安装 Arch Linux 作为我的唯一操作系统。这个当前的设置是通过 TrueCrypt 使用整个磁盘加密,但我不确定它是否对我来说是 unnessesary。
我想我会用一个稍显简单分区sceme,是这样的:/,/boot,/home和swap。
我将笔记本电脑用于日常 PC 使用、编程、在本地 Web 服务器或虚拟 Web 服务器上进行测试、音频/视频播放、音频编辑/录制等。
我也想加密我的下一个 Arch only 设置,但我无法决定是对整个磁盘进行分区,只是主分区还是其他分区。我想加密系统主要是为了保护最终丢失/被盗的数据。
我认为带有 LUKS 的 dm-crypt 将是我的最佳选择,但我不确定。
我应该选择什么,为什么?
Gil*_*il' 10
在大多数情况下,以下三种方案之一效果很好。
使用encfs:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
优点:没有访问非机密文件的开销;您可以使用不同的密码拥有不同的层次结构;您可以轻松地将整个加密文件层次结构复制到另一台机器上;您不需要任何特殊权限即可使用 encfs。
缺点:仅对明确放置在加密区域中的文件进行加密;如果您无论如何都要加密很多文件,那么它会比磁盘级加密慢一点。
使用ecryptfs。
利弊。简而言之,当您想使用您的登录密码加密您的主目录时,ecryptfs 工作得特别好;如果您告诉安装程序加密您的主目录,这就是 Ubuntu 所使用的。一个缺点是 ssh 进入您的帐户更加困难,因为如果您对 ssh 使用密钥身份验证,则您的公钥必须放在加密区域之外,并且您需要在 ssh 进入后输入密码。
使用dm-crypt加密除/boot.
优点:一切都是加密的,所以你不必担心不小心把文件放在错误的地方;块级加密提供了更好的速度,特别是如果您的处理器具有 AES 硬件加速器(x86 上的AES-NI)。
缺点:开机时需要提供密码,无法进行无人值守开机;一切都是加密的,如果你的处理器很慢,这可能会很慢。
如果您不进行全盘加密,请记住,您的数据的某些临时副本可能会在您的主目录之外。最明显的例子是交换空间,因此如果您打算使用加密来防止小偷读取您的数据,请确保对其进行加密(使用 dm-crypt)。由于每次启动时都会重新初始化交换空间,因此您可以使用随机密钥,这样您就可以进行无人值守启动(但是,这会使休眠变得不可能)。
放在/tmptmpfs 下(无论如何这是个好主意)。请参阅如何(安全地)将 /tmp 移动到不同的卷?了解如何迁移/tmp到 tmpfs。
其他有风险的区域是邮筒 ( /var/mail) 和打印假脱机程序 ( /var/spool/cups)。
您绝对应该选择 luks,因为它与 Linux 内核集成,并且可以开箱即用。使用其他解决方案并不值得,特别是因为其中一些解决方案不支持AES-NI.
有关加密内容的讨论,请参阅加密 / 的任何原因?但根据您的偏执程度和安全需求,仅加密/home可能就足够了。
| 归档时间: |
|
| 查看次数: |
5834 次 |
| 最近记录: |