我刚刚发现了 的乐趣encryptsetup。
encryptsetup我现在想知道是否可以自动安装(“LUKS”)格式的分区。
我发现本文,其中讨论了为您的卷制作第二个密钥(随机生成的密钥文件),然后使用 /etc/crypttab。但作者也说:
该密钥文件需要保密,因为它允许解锁加密卷。我建议将此密钥存储在已加密的系统分区/卷上以对其进行保护。将此密钥存储在未加密/未受保护的位置将使加密变得无用。
...这是有道理的。
考虑到我在启动 Linux(Mint 18.3)时必须输入密码,我在想:“好吧,没关系,我可以把这个密钥文件放在 / 下的某个地方,这样就足够安全了”。
但这是真的吗?我的主要 Linux 文件系统分区实际上是在任何意义上都经过加密的,还是仅仅是对它的访问受到密码保护?如果是后者,是否意味着拥有正确的磁盘诊断工具的人可以读取 / 下的任何文件?
那么加密自己的主要 Linux 分区是否可行呢?这不会对性能造成很大影响吗?
这个难题的答案是什么?encryptsetup每次重新启动时我是否都必须手动输入密码(或“密码”)?并确保我将机密数据保存在未加密的主 Linux 分区之外?
答案1
您不能将密钥保留在 / 上并同时对其进行加密。那样的话根本行不通。
是的,具有磁盘物理访问权限的人可以检索秘密。
是的,加密有性能缺陷。在包含重要数据的分区而不是整个操作系统上执行此操作是明智的选择。
如果您可以保持系统长时间正常运行,或者在每次启动时亲自或远程在控制台上,则手动输入密码是一个更好的决定。远程过程要求事先启动网络服务,因此主分区必须保持未加密状态。
否则,一种不太安全的做法是将秘密保存在靠近主操作系统且可访问的地方,在主分区中或通过闪存棒。