是时候加密了。我的设置:
/boot
[1GB]- 左心室容量
swap
[4GB]/root
[30GB]/usr
[4GB]/var
[4GB]/home
[150GB]/tmp
&/var/tmp
[2GB]
起初要加密swap
& /home
,但不确定是否也加密其他一些更好。
(目的是网络安全,不要出于性能原因加密所有磁盘,一台老化的笔记本电脑)
也不能 100% 确定空间分布是否是最佳的。
(Debian PC,不是服务器。)
答案1
如果您使用 LVM,通常的配置是在物理卷级别设置加密,以便对所有逻辑卷进行加密。
这是 Fedora 中典型的加密 LVM 设置的样子:
sda 8:0 0 931,5G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 930,5G 0 part
└─luks-094c2ba3-eb59-48fe-83ab-eca3fe533c03 253:0 0 930,5G 0 crypt
├─fedora-root 253:1 0 70G 0 lvm /
├─fedora-swap 253:2 0 7,9G 0 lvm [SWAP]
└─fedora-home 253:3 0 852,6G 0 lvm /home
我只有三个 LV(用于/
和/home
交换),但除此之外的所有内容/boot
均已加密。在 PV 级别上加密也比加密单个 LV 容易得多。
答案2
在文件系统级别加密数据不太可能保护您免受已启动和运行的系统上任何内容的影响。一旦系统启动并安装了文件系统,任何登录的人都可以使用数据,除非有文件级权限,而且无论如何,破坏 root 权限都可以解决这个问题。
您可以加密特定的文件系统(即/home/mydir)并仅在使用它们时安装它们,然后在注销时卸载它们,但这是您不太可能愿意忍受的麻烦......而且,如果有人在您登录时入侵,他们也可以访问这些文件系统。
磁盘加密实际上仅对存储设备的物理盗窃有用。当骗子尝试访问驱动器时,他们需要密钥来解密它。