Хочу простую в использовании схему шифрования диска Linux
В интересах защиты персональных данных в случае, если ноутбук украден, я ищу лучший способ зашифровать систему Linux.
Недостатки целого шифрования диска включая подкачку:
- Подсказка пароля перед начальной загрузкой довольно ужасна и не отполирована, представляясь скрытой среди сообщений загрузки (чему-то может понравиться Показной дескриптор это?)
- Потребность войти в систему дважды (если Вы имеете экран входа в систему GDM и нуждаетесь в многочисленных пользователях),
Недостатки отдельного использования шифрования папки libpam-монтируются или подобный:
- Только домашняя папка пользователя шифруется (тогда как / и т.д., / var и т.д. мог бы содержать уязвимую информацию также).
- Файл подкачки не шифруется, настолько вероятно, чтобы быть утечкой уязвимых данных там
- Никакой способ надежно быть в спящем режиме.
Я использую Linux Debian, если он имеет значение. Не должно быть смехотворно безопасным, но хотеть душевное спокойствие, что вор не может украсть мои идентификационные данные, детали банковского счета, логины VPN и т.д., если это украдено в то время как прочь/спящий режим.
Вы знаете о способах решить какой-либо мой выше проблем?
4 ответа
Вашей проблемой является общая: главным образом, трудный баланс между безопасностью и удобством использования.
Мое предложение состоит в том, чтобы использовать немного измененную версию смешанного подхода:
- использование межплатформенного программного обеспечения как TrueCrypt готовит один или несколько зашифрованных томов к Вашим персональным данным, которые Вы ежедневно НЕ используете (банковские реквизиты, сохраненные пароли, медицинская документация, и т.д.)
- причина использовать больше чем один объем состоит в том, что Вы могли бы хотеть создать резервную копию их на различных медиа или использовать различные схемы шифрования: например, Вы могли бы хотеть совместно использовать свою медицинскую документацию с кем-то еще и сказать им Ваш пароль (который должен отличаться для того, используемого для других объемов),
- использование "стандартного" межплатформенного программного обеспечения означает, что Вы сможете восстановить свои данные из другой ОС на лету, если Ваш ноутбук будет украден/поврежден
- целое шифрование диска является часто громоздким и трудным. Хотя существуют нападения для него (см. Злое Нападение Девицы, оказывается полезным, если Вы боитесь того, что могло бы произойти, если у людей есть доступ к целой системе. Например, если Вы используете ноутбук компании, не имеете никакого административного доступа и существуют ключи VPN, которые не должны быть украдены
- кэшируемые пароли для почты/сети/приложений являются другой проблемой: возможно, Вы могли бы хотеть зашифровать только свой корневой каталог? Для оптимизации производительности и безопасности/удобства использования, Вы могли:
- зашифруйте весь домашний dir
- softlink к незашифрованному каталогу в Вашей файловой системе для данных Вы не заботитесь о потере (музыка, видео, и т.д.)
Снова, не забывайте, что все сводится на значении того, что необходимо потерять, по сравнению со значением времени и стоимостью восстановления.
Можно использовать, ожидают диск для хранения ключей шифрования. Для лучшей безопасности это должно быть защищено паролем, но это не имеет к.
http://loop-aes.sourceforge.net/loop-AES.README смотрит на пример 7.
Я все еще относительно плохо знаком с Linux, но я думал, когда Вы, когда установить систему, были способом включить целое шифрование диска. Кроме того, TrueCrypt имеет .deb пакет.
Я еще не использовал шифрование диска на Linux, поэтому возможно, эти опции имеют проблемы как Вы, описывают выше. До многопользовательского входа в систему возможно, TrueCrypt может быть установкой для использования файла ключей на Карте памяти. Тем путем все, в чем Вы нуждаетесь, является ноутбуком и Картой памяти для доступа к файлам на ноутбуке.
Я все еще изучаю Linux сам, таким образом, я надеюсь, что это помогает.
По поводу чего Вы волнуетесь? Какие векторы атаки? Прежде чем можно будет стать серьезно относящимися к безопасности, у Вас должны быть ответы на эти два вопроса.
"Персональные данные" предполагают, что Вы волнуетесь по поводу вещей как хищение личных данных, случайные снуперы, &c. Что-то как программное обеспечение связки ключей достаточно для защиты данных для входа в систему банка, &c, но непрактично для больших объемов информации.
Если у Вас есть много данных, Вы хотите защитить, информация, что Вам не нужен быстрый доступ к, и который Вы готовы оплатить маленькое повторяющееся свободное, то затем S4 Amazon является хорошим вариантом, полностью удаляя беспокойство о физическом доступе, так, чтобы безопасность была уменьшена до управления ключами, которое, снова, соответственно решено программным обеспечением связки ключей. Amazon не видит содержание того, что Вы храните этот путь, но только зашифрованный результат. Конечно, это означает, что, если Вы портите и теряете ключи, Amazon не может помочь Вам.
В третьем случае случая, где Вы хотите относительно быстрый доступ к большому объему данных, я рекомендую использовать не целое шифрование диска, но целое шифрование раздела, на предложение chinmaya. На каталог шифрование неприятность, и я не рекомендую это: заставьте систему регистрации делать работу.