ecryptfs-setup-private 是否使用实时加密？

Question 1

作为 ecryptfs-setup-private 的作者和 eCryptfs 的维护者之一，我将回答这个问题。

eCryptfs 为“静止”数据（即系统关闭或休眠时）提供非常强大的加密保护。但是，您应该注意，当您的系统正在运行并且主目录已挂载时，您的数据仅受 DAC（自主访问控制）保护（即 UNIX 文件系统权限）。在 Ubuntu 中，默认情况下，如果您使用加密主目录，则您的 $HOME 目录具有 700 个权限，因此除您（和 root）之外，系统上的其他用户都无法在挂载时看到您的数据。现在，当您的数据挂载后，它将被安全地加密锁定。

但与往常一样，您仍然应该有一个非常强大的 LOGIN 密码。您的 LOGIN 密码用于加密和解密一个更长更强大的随机生成的挂载密码，该密码存储在中$HOME/.ecryptfs/wrapped-passphrase。如果攻击者有权访问$HOME/.ecryptfs/wrapped-passphrase，那么他们可以尝试通过猜测您的 LOGIN 密码来解密该文件。如果他们确实解密了该文件，那么他们将可以访问您的长/随机 MOUNT 密码，您的数据不再安全。作为更强有力的安全措施，一些偏执的用户（比如我自己）将他们的包装密码文件存储在安全的可移动媒体（如 USB 密钥或 SD 卡）上，并使用符号链接将其链接到$HOME/.ecryptfs/wrapped-passphrase。这只应由专家用户尝试。

干杯!

Answer

作为 ecryptfs-setup-private 的作者和 eCryptfs 的维护者之一，我将回答这个问题。

eCryptfs 为“静止”数据（即系统关闭或休眠时）提供非常强大的加密保护。但是，您应该注意，当您的系统正在运行并且主目录已挂载时，您的数据仅受 DAC（自主访问控制）保护（即 UNIX 文件系统权限）。在 Ubuntu 中，默认情况下，如果您使用加密主目录，则您的 $HOME 目录具有 700 个权限，因此除您（和 root）之外，系统上的其他用户都无法在挂载时看到您的数据。现在，当您的数据挂载后，它将被安全地加密锁定。

但与往常一样，您仍然应该有一个非常强大的 LOGIN 密码。您的 LOGIN 密码用于加密和解密一个更长更强大的随机生成的挂载密码，该密码存储在中$HOME/.ecryptfs/wrapped-passphrase。如果攻击者有权访问$HOME/.ecryptfs/wrapped-passphrase，那么他们可以尝试通过猜测您的 LOGIN 密码来解密该文件。如果他们确实解密了该文件，那么他们将可以访问您的长/随机 MOUNT 密码，您的数据不再安全。作为更强有力的安全措施，一些偏执的用户（比如我自己）将他们的包装密码文件存储在安全的可移动媒体（如 USB 密钥或 SD 卡）上，并使用符号链接将其链接到$HOME/.ecryptfs/wrapped-passphrase。这只应由专家用户尝试。

干杯!

Question 2

我相信我已经回答了自己的问题。我运行了 ecryptfs-setup-private，然后进行了硬关机。当我使用 live cd 启动时，我能够使用 ls /media//home... 列出我的个人主目录的内容，并且在 ~/Private 目录中，有访问文件的常用链接，并且没有办法使其工作。文件是安全的！

Answer

我相信我已经回答了自己的问题。我运行了 ecryptfs-setup-private，然后进行了硬关机。当我使用 live cd 启动时，我能够使用 ls /media//home... 列出我的个人主目录的内容，并且在 ~/Private 目录中，有访问文件的常用链接，并且没有办法使其工作。文件是安全的！

ecryptfs-setup-private 是否使用实时加密？

答案1

答案2

相关内容