我想加密我的 Ubuntu 根分区。此分区目前包含 /boot 文件夹、交换文件和我的主文件夹(我们称此分区为 sda9)。
我找到了一个解决方案,将我的 /root 从 sda9 文件夹移动到另一个分区,以便在没有 /boot 目录的情况下加密 sda9。
加密时是否可以/建议将交换文件和主目录留在 sda9 内?还是应该在另一个分区上加密它们?
我想将 sda9 的备份复制回加密驱动器,以避免格式化并保留我的所有配置。
附加信息:我有一个 Windows 和 Ubuntu 20.04 双启动设置。
答案1
交换文件不应被加密,至少在现代 CPU 支持硬件 RAM 加密之前不应加密,否则加密交换将显著降低系统速度。
您有一些选择。
- 您使用未加密的交换文件并在每次系统关闭时将其删除,这不是很安全。
- 您根本不使用交换文件,这是最安全的变体。(在我看来,这是最好的选择。)
- 您使用加密的交换文件(而不是交换分区),这至少比不使用加密更安全,但也非常慢。您需要停用休眠电源状态,否则可能会丢失数据。
答案2
“完整”磁盘加密
在使用高级安装选项对 USB 进行加密安装后,我使用磁盘和 GParted 检查了结果。
加密的扩展分区已完全加密。交换分区是文件在这个分区内(而不是它自己的分区),因此也是加密的。
启动分区是不是加密。必须先启动磁盘,然后才能解密。