我在阅读和学习 LPI-1 考试时,偶然发现了用于磁盘加密的 LUKS。我发现它非常酷,于是在我家的实验室里用 Debian 机器尝试了一下。安装了所有东西,加密了磁盘……但我猜我不太理解它。
当我安装磁盘时,我在其中创建了文本文件,将其传输到我的 USB 记忆棒上,然后我能够在 Windows 11 机器上正常打开这些文件。那么加密在什么情况下会起作用呢?如果有人偷了我的硬盘或类似的东西?我以为除了我的 Linux 机器之外的所有文件都会被不断加密,但似乎一旦安装,文件就会被解密,如果有人入侵我的环境,他们仍然可以访问我的所有文件,这样假设对吗?
答案1
LUKS 加密的是分区(而不是文件),因此当 LUKS 分区被解密且文件系统暴露时,数据就会被复制。
虽然并不完全相同,但如果您熟悉的话,LUKS 在概念上与 Bitlocker 非常相似。
对于 LUKS 来说,发挥作用的“磁盘”层通常是这样的
磁盘 -> 分区 -> LUKS -> 文件系统 -> 文件
一旦 LUKS 分区打开操作系统可以挂载文件系统并访问文件,操作系统将像没有加密一样读写和查看文件 - 但是当驱动器与计算机分离或计算机关闭时,LUKS 分区不会打开并且文件已加密 - 因此如果有人偷了你的硬盘,或者你需要发回有故障的驱动器 - 你的数据是安全的。(事实上,如果有人偷了你的电脑,你已注销并且你的 LUKS 系统需要密码才能挂载,你也相当安全 - 具体程度取决于你的密码强度和设置方式。)
答案2
Luks 加密文件系统上的文件在文件系统上时受到保护。当您将文件从文件系统复制出去时,您将失去这种保护。
大多数 Luks 加密都是针对整个驱动器或分区的。因此它们在启动时解锁。如果您的驱动器被盗,这可以保护您的文件。当计算机运行时,授权用户可以访问文件系统。
也许你需要 encfs https://en.m.wikipedia.org/wiki/EncFS
答案3
正如其他人所说,当 luks 容器打开时,您的文件将被暴露。为了防止访问这些文件,您需要其他安全机制,例如适当的防火墙规则、适当的访问控制 (MAC/DAC)。