我正在考虑加密我的笔记本电脑的内容,该笔记本电脑运行 Ubuntu 10.04 并具有 ext4 + swap,我想知道这里最好的选择是什么。我知道:
- TrueCrypt:块级加密或文件内的虚拟设备
- ecryptfs:FS 级加密
- dm-crypt:块级加密
- Loop-AES:块级加密
- 加密的 LVM:块级加密
如果我想加密至少 /var、/home、/tmp、/etc 和 swap(假设我没有将秘密应用程序安装到 /usr 或其他地方,那么这几乎涵盖了大多数敏感数据),我正在尝试了解最佳选择是什么(或权衡是什么)。一些指导性问题:
- 对性能和电池寿命的影响有多大?SSD 上的性能如何?
- 就我而言,我是否可以在不设置新系统的情况下进行设置 - 只需采用我现有的 ext4 / swap 并加密它们?(最好不需要一些中间存储,但更重要的是,最好不需要我重新安装操作系统?)
- 以上这些产品中,有哪一款比其他产品更值得推荐吗?(至少在 Ubuntu 上是这样)?有哪些产品已经过时/弃用了?
我知道之前有关于 Linux 磁盘加密的讨论,但它们往往只涵盖上述选项和问题的子集。感谢您的指导。
答案1
加密的 LVM 是我的最爱,不要加密交换,以防您进入休眠或挂起磁盘状态。这可能是一个问题。
没有中间存储——如果有办法,我不相信它。
对我来说,电池寿命不是那么明显,但是我的笔记本电脑以 53W 运行,除非我打开无线,并且如果我让屏幕变暗,则可以获得大约 6 小时的电池寿命。使用电池时视频会跳过一些,但除此之外一切都很好。
SSD 的单元会不断充电/放电,以延长这些文件系统的使用寿命。我认为它们没有我想要的运行操作系统的吞吐量,但我想这取决于你喜欢什么。
我见过 SD 或 USB 用于保存用于 LVM 加密的非常长的 LUKS 密码。
luks 的唯一缺点是解密密钥存储在 RAM 中,因此如果您的计算机在开启时被盗,则可以有恢复方法。
答案2
我也使用加密的 LVM——Ubuntu 服务器 .iso 在安装过程中非常容易地支持这一点,因此我从服务器发行版安装并在完成后运行sudo apt-get install ubuntu-desktop(或在旧系统上)以从那里安装桌面。sudo apt-get install xubuntu-desktop
我没有真正注意到性能下降,即使是较旧的 5400 RPM 笔记本硬盘。我也没有注意到这会影响电池寿命——如果有影响,也不会超过几个百分点。
一旦您选择加密整个 LVM 卷,我建议不要选择在其上加密用户文件夹,因为尝试这样做会导致系统在 9.04 和 9.10 上可靠地挂起(没有在 10.04 上尝试过)。