我有什么办法可以加密我的 Ubuntu 笔记本电脑的 /home 目录?它们目前没有任何加密设置,有些将 /home 作为单独的分区,而有些则没有。这些笔记本电脑中的大多数都是单用户独立笔记本电脑,经常在路上使用。
ecryptfs 和加密的私人目录是否足够好,或者有更好、更安全的选择?如果有人拿到了笔记本电脑,他们获取加密文件的权限有多容易?
对于加密 lvm、truecrypt 以及我可能不知道的任何其他解决方案也有类似的问题。
答案1
可用的选项包括使用 ecryptfs、Truecrypt 或 luks 和 dm-crypt 加密每个用户主目录中的私人目录。这些方法各有优缺点。
使用 ecryptfs 和私有目录在系统安装后按用户设置很容易,但大多数情况下它不是默认启用的,它不会保护在该私有目录之外写入的任何内容(包括 /tmp、/var 和 swap)。其中一个主要缺点是它不会对正在使用的文件名进行加密 - 因此获得访问权限的人可以看到文件的名称,但看不到文件的内容。还有人担心,如果使用相同的登录和 ecryptfs 密码,那么薄弱之处就是登录密码,很容易被破解。
Truecrypt 是跨平台的,这意味着您可以创建在 Linux 和 Windows 中均可读取的加密分区。它还提供了合理的可否认性。但是,它的设置和使用并不十分容易 - 如果您不知道自己在做什么,GUI 会非常吓人。
Luks 和加密的 lvm 是确保所有内容都加密的最好方法。主要缺点是安装后您无法返回并添加它,并且需要服务器或高级安装 cd 才能启用它。鉴于 10.04 LTS 将在下个月左右推出,我首选的方案是等待几个月,然后使用加密的 LVM 分区进行全新安装。