我已经在 Linux 上使用全盘加密一段时间了,效果很好,但是它增加的额外复杂性是我想要避免的,例如备份/系统恢复复杂性、缺乏对 SSD 的 TRIM 支持等。理想情况下,我只加密包含敏感数据的每个目录(例如“文档”)。
作为一台单用户机器,我并不特别担心“root”看到已安装的数据。我只担心有人闯入并带走硬件和可以访问数据。
有问题的机器有 16 GB 的 RAM,并且运行固态硬盘,所以我没有任何交换分区。如果应用程序无处交换,通常我不必担心它会写入某些不受保护/未加密的位置。
我的问题是,我是否应该担心应用程序可能决定临时存储文件的其他目录。例如,我是否应该尝试加密“/tmp”目录?
答案1
您说:“我的问题是我是否应该担心应用程序决定临时存储文件的其他目录。”
答案是,这取决于你有多偏执。真的不可能很好地回答你的问题。我想这就是之前没有回答的原因。不过,我会尝试回答的……
既然您说全盘加密对您来说不值得这么复杂,那么我相信您的需求(仅加密敏感目录中的文件)可以通过 EncFS 之类的东西来满足。请参阅此答案:
这是你的答案:https://superuser.com/a/182221
关于 /tmp,通过将其挂载为 tmpfs 将其保留在内存中,如该答案中所述。无需担心其他任何事情。如果这对您来说还不够好,那么请返回全盘加密。