我安装了 Linux Mint,并在开始时设置了对整个文件系统进行加密的选项。这样做的原因是,如果计算机的磁盘落入他人之手,我希望能够获得更大的隐私。
我意识到加密整个文件系统有一个很大的缺点:断电等之后,我就无法再远程登录该机器了。
因此我想重新设置系统,但这次只加密用户的主目录,而不是加密整个文件系统。
我知道很多文件都临时存储/创建在 /tmp 目录中。
当我重新设置系统时,如何确保 /tmp 目录也加密?
我能想到的想法是:
- 将 /tmp 目录移动为 /home 文件夹的子目录(但我认为与我自己的用户无关的进程也将使用 /tmp 文件夹,所以这不是一个好主意)。
- 以某种方式加密 /tmp 文件夹...。但是系统如何才能独立于任何密码输入启动并仍然使用该 /tmp 文件夹?
答案1
由于它是 /tmp(明确用于临时数据),因此您有一些非常好的选择。您可以对它进行彻底加密,并且无需在重启后保留加密密钥。
首先,最简单、最快捷:加密交换,加上 tmpfs。加密的所有好处,再加上计算机在可能/合理的情况下使用 RAM 作为 /tmp。
更复杂的选项包括:从 fstab(文件系统表;它是提供给操作系统以指示如何挂载文件系统的文件)中省略 tmp 分区,并有一个启动脚本,该脚本将使用随机(生成的)密钥用加密分区覆盖指定分区,挂载它,然后丢弃密钥。