哪些分区加密？

Question 1

如果您使用 LVM，通常的配置是在物理卷级别设置加密，以便对所有逻辑卷进行加密。

这是 Fedora 中典型的加密 LVM 设置的样子：

sda                                             8:0    0 931,5G  0 disk  
├─sda1                                          8:1    0     1G  0 part  /boot
└─sda2                                          8:2    0 930,5G  0 part  
  └─luks-094c2ba3-eb59-48fe-83ab-eca3fe533c03 253:0    0 930,5G  0 crypt 
    ├─fedora-root                             253:1    0    70G  0 lvm   /
    ├─fedora-swap                             253:2    0   7,9G  0 lvm   [SWAP]
    └─fedora-home                             253:3    0 852,6G  0 lvm   /home

我只有三个 LV（用于/和/home交换），但除此之外的所有内容/boot均已加密。在 PV 级别上加密也比加密单个 LV 容易得多。

Answer

如果您使用 LVM，通常的配置是在物理卷级别设置加密，以便对所有逻辑卷进行加密。

这是 Fedora 中典型的加密 LVM 设置的样子：

sda                                             8:0    0 931,5G  0 disk  
├─sda1                                          8:1    0     1G  0 part  /boot
└─sda2                                          8:2    0 930,5G  0 part  
  └─luks-094c2ba3-eb59-48fe-83ab-eca3fe533c03 253:0    0 930,5G  0 crypt 
    ├─fedora-root                             253:1    0    70G  0 lvm   /
    ├─fedora-swap                             253:2    0   7,9G  0 lvm   [SWAP]
    └─fedora-home                             253:3    0 852,6G  0 lvm   /home

我只有三个 LV（用于/和/home交换），但除此之外的所有内容/boot均已加密。在 PV 级别上加密也比加密单个 LV 容易得多。

Question 2

在文件系统级别加密数据不太可能保护您免受已启动和运行的系统上任何内容的影响。一旦系统启动并安装了文件系统，任何登录的人都可以使用数据，除非有文件级权限，而且无论如何，破坏 root 权限都可以解决这个问题。

您可以加密特定的文件系统（即/home/mydir）并仅在使用它们时安装它们，然后在注销时卸载它们，但这是您不太可能愿意忍受的麻烦......而且，如果有人在您登录时入侵，他们也可以访问这些文件系统。

磁盘加密实际上仅对存储设备的物理盗窃有用。当骗子尝试访问驱动器时，他们需要密钥来解密它。

Answer

在文件系统级别加密数据不太可能保护您免受已启动和运行的系统上任何内容的影响。一旦系统启动并安装了文件系统，任何登录的人都可以使用数据，除非有文件级权限，而且无论如何，破坏 root 权限都可以解决这个问题。

您可以加密特定的文件系统（即/home/mydir）并仅在使用它们时安装它们，然后在注销时卸载它们，但这是您不太可能愿意忍受的麻烦......而且，如果有人在您登录时入侵，他们也可以访问这些文件系统。

磁盘加密实际上仅对存储设备的物理盗窃有用。当骗子尝试访问驱动器时，他们需要密钥来解密它。

哪些分区加密？

答案1

答案2

相关内容