答案1
如果有人可以物理访问您的计算机,那么他们可以通过在替代媒体上启动来运行他们想要的任何代码。或者,如果您已将其锁定,他们可以拔出硬盘并将其插入计算机。
如果人们有权访问您的计算机,您无法阻止他们在您的计算机上运行代码,但您可以通过加密来防止他们访问您的数据。然后,如果他们访问您的计算机,他们只会看到加密的数据,除非获得加密密钥,否则无法解密。
由于您是 Linux 新手,我建议您重新安装发行版并在安装过程中选择“全盘加密”(或一些类似的名称)。大多数发行版,包括基本操作系统,都提供了这种可能性。虽然可以将安装转换为加密,但它相当先进,错误擦除数据的风险很高。因此,请确保您的备份是最新的并重新安装。
设置加密的简单方法是使用密码。密码的缺点是为了安全,它需要足够随机,而足够随机的密码很难记住。不够随机的密码可能会被猜到。 A良好的妥协是为了随机地生成一个由几个单词组成的密码(即比通常的 l33tspe4k+标点符号的坏建议好多了)。
Linux的磁盘加密系统(dm 密码)还支持使用“密钥文件”。密钥文件本质上是一个密码,但从文件中读取而不是在键盘上键入。密钥文件的优点是它可以是长的、随机的垃圾,无法猜测(但无法记住,这就是为什么您将其存储在智能卡或 USB 密钥上)。据我所知,常见的发行版不提供完整的设置方法,因此您必须手动运行设置。看如何配置LVM和LUKS自动解密分区?或者如何从 USB 加载 LUKS 密码,然后返回键盘?以获得指示。
如果您不想让您在开始时创建的难忘密码解锁磁盘,请添加一个长的、随机的、不可记忆的但可输入的密码作为另一个解密密钥 ( cryptsetup luksAddKey /dev/sda2 'the long random non-memorable but typable password')。打印出长长的、随机的、难以记忆但可输入的密码,并将其存放在保险箱中。测试它是否有效,然后删除您在开始时创建的难忘密码 ( cryptsetup luksRemoveKey)。
当您已经登录时,能够使用 USB 密钥解锁显示屏的方式有所不同。此时,磁盘加密密钥仍在内存中,您所需要做的就是向计算机证明您有权使用它。为此,较短(但仍然不完全微不足道)的密码是可以的,因为如果攻击者尝试使用该密码,他们将受到计算机接受尝试的速度的限制。这是一种在线攻击,与尝试解密密钥不同,解密密钥可以在专用硬件上并行离线完成。
如果您仍然想使用 USB 密钥来解锁计算机,您链接到的博客文章看起来是一种合理的方法(我尚未详细检查所有命令)。如果您无法使其工作,我建议在此网站上提出一个更精确的问题:您做了什么(复制粘贴命令)?确切的行为是什么(复制粘贴所有消息)?
您的系统仍然容易受到更高级的攻击。加密不能防止邪恶女仆袭击。为此,您需要设置安全启动。基本使用加密软件也不能防止冷启动攻击,攻击者从实时系统中获取 RAM 棒,并希望读取仍在其中某处的加密密钥。有Linux内核补丁以避免将密钥存储在 RAM 中(它仅存储在 CPU 寄存器中,实际上无法通过物理方式提取)。