我对 Linux 中的磁盘加密技术还不熟悉,但我对加密有基本的概念。以下是我的条件:
- 我需要“全盘加密”,包括“/”,而不仅仅是“/home”。
- 我不需要在单独的分区上设置 /home,我更喜欢只有一个“/”和交换
- 我需要挂起/休眠模式才能工作(是的,我知道挂起并不安全,但在极少数情况下我需要它来防止别人偷我的笔记本电脑)
- 我想使用现代 Linux 发行版安装程序来执行此操作,因此我的选择基本上是 LVM
- 我知道我需要一个未加密的 /boot 分区
但问题是:使用分发安装程序,我可以选择加密物理卷(PV),也可以加密 PV 内的逻辑卷(LV)。
- 哪一个更好?
- 如果我只是加密了物理卷,是否安全?还是它只是加密了某种元数据(例如包含指向内部分区的指针的表),而不是其中的文件系统?
- 是否存在我需要 PV 加密 + LV 加密的情况?请解释一下。
LVM 有许多不同的抽象(PV、VG、LV、PE),我担心通过加密某些东西,我可能只会加密某种元数据表,而不是文件的实际内容。我尝试用谷歌搜索,但操作指南通常会解释如何格式化分区,而不是我询问的细节。我感觉人们只想输入一些密码,即使他们不知道实际加密的是什么。Linux 发行版安装程序也无济于事(唯一关心在加密前将随机内容写入磁盘的是 Debian!)。
我做了什么:
- 使用 OpenSuse 安装程序,我在磁盘上创建了一个物理分区并将其标记为“已加密”。然后,我使用它创建了一个 LVM 组,并在其中创建了未加密的 / 和交换。这安全吗?
我仍在等待安装完成。之后我需要找到如何尝试破解它的方法。
提前致谢。
答案1
哪一个更好?
它们都使用相同的技术。如果您加密物理卷,那么 LVM 内的所有内容都将被加密。如果您需要/希望 LVM 卷中的某些内容不被加密,那么您需要在逻辑卷上保留设置加密。
我担心通过加密某些东西我可能只加密某种元数据表而不是文件的实际内容。
几乎所有安装程序基本上都设置了一个DM 地穴使用体积卢克斯。这会加密整个分区的内容。然后在加密卷内设置 LVM 是很常见的,以便用户能够根据需要灵活地调整分区。
有什么情况我需要 PV 加密 + LV 加密吗?
我想,如果你非常偏执,你可能想要一个标准的低安全卷,其中包含操作系统和标准文件。然后,你可能会将你的超级双重绝密文件隐藏在一个单独的加密卷中,你只在需要时才挂载。如果你在启动时挂载两个卷,那么这根本就没有任何意义,你只需要两次加密,而没有太多的实际收益。如果你确实设置了类似的东西,那么很明显你需要为内部卷建立完全独立的密钥/密码。