Mar*_*cel 7 debian encryption testing home ecryptfs
在我的Debian-Testing -System 上,我想完全隐藏主文件夹。这意味着,我不仅希望对数据进行加密,而且还希望排除从加密数据中确定任何(或大部分)信息。
例如,文件名也应该加密。但不是数据保护专家,也许其他文件/文件夹属性也需要加密以授予隐私。
我考虑过ecryptfs来实现这一点(包ecryptfs-utils)
但是,这是满足我需求的正确选择吗?
我也非常感谢有关在 Debian 中实施加密主文件夹的分步说明的链接!
[编辑] 我进行了全新安装,因此没有必要迁移以前未加密的主文件夹。
Ecryptfs 将每个加密文件存储在一个文件中(下层文件,在ecryptfs 术语中)。尽管文件名是加密的,但较低文件的目录结构反映了有效负载文件的目录结构。较低文件的元数据(特别是修改时间)也揭示了有效负载文件的元数据。较低文件的大小略大于有效负载的大小(Ecryptfs 的元数据具有固定开销)¹。
如果您正在存储自己的工作,攻击者已经大致知道您拥有哪些类型的数据(“我已经知道这是一个源代码树,我知道这些是电子表格,我想知道的是!”) ,这些都不是问题。但是,如果您存储的目录树可以通过其布局(目录结构、近似大小、日期)来识别,那么 Ecryptfs 不是适合您的工具。
在块设备级别使用加密。Linux 通过dm-crypt提供了这一点。您可以加密整个磁盘(引导加载程序的小区域除外),也可以加密/home或其他一些分区。如果您不加密整个磁盘,请记住机密信息可能会在其他地方,尤其是交换空间(如果您在任何地方有任何加密数据,您应该加密您的交换)。请注意,如果您使用全盘加密,您的计算机将无法在无人看管的情况下启动,您必须在键盘上输入密码。
由于整个块设备都是加密的,因此窃取磁盘的攻击者无法检测到文件内容和元数据的位置。除了加密区域开头的标题外,内容与随机噪声无法区分。攻击者可以通过查看加密数据的多个快照并研究各个扇区如何随时间演变来获得一些信息,但即使如此,也很难找到任何有趣的东西,如果您在之后停止修改数据,这将不适用。攻击者已经看到密文(如磁盘盗窃的情况)。
许多发行版提供了在安装时创建 dmcrypt 卷或加密整个磁盘的可能性。您可能必须选择“高级”或“服务器”安装映像,而不是“桌面”或“基本”映像。
操作 dm-crypt 卷的工具是cryptsetup. 要创建 dmcrypt 卷,请创建一个分区/dev/sdz9,例如,然后运行cryptsetup luksFormat /dev/sdz9。您需要将音量添加到/etc/crypttab; 用于cryptsetup luksOpen当场或cryptmount -a在您设置好后激活音量/etc/crypttab。Dm-crypt 只是一个密码层,因此您需要在加密卷上创建一个文件系统。
将 Backtrack 5 r2 安装到运行与 ubuntu 一起安装的 LUKS 设置中有一个关于完全手动设置 dm-crypt 的教程。
¹实验上,在默认设置下,较低的文件大小是有效负载文件大小,四舍五入为 4kB 的倍数,加上 8kB 开销。
| 归档时间: |
|
| 查看次数: |
1457 次 |
| 最近记录: |