我找到了以下系统加密示例配置:
示例5:偏执系统加密
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
不过我没有找到任何细节。
这是否意味着可以进行完整的系统加密,其中每个用户分区都有自己的密码,例如当一个用户登录时,他无法读取另一个未登录用户的数据,因为他的数据已加密? (与使用 加密不同主分区的情况类似ecryptfs)。
那么有人可以提供一些详细信息吗?它在实践中是如何工作的,以及如何在 ubuntu 系统中设置它?
答案1
如果你想要每用户加密,我相信 Ubuntu 已经提供了一个解决方案。它不使用dm-crypt/luksbutecryptfs或类似的方法,使用常规文件系统之上的加密层来单独加密每个用户的主目录。
至于dm-crypt/luks,您必须为每个用户创建一个单独的分区或逻辑卷才能实现相同的目的。
另一种可能性是它指的是 LUKS 支持同一容器的多个密钥。然而,这仅限于 8 个键槽,因此不太实用,除非您的用户数量那么少。
您还可以设置一个链式系统 - 为用户提供一把钥匙,该钥匙可以解锁主钥匙,而主钥匙又可以解锁容器。但我认为它并不真正适合用户管理 - 如果您想防止 USB 记忆棒被盗/丢失 == 密钥丢失,它可能会很有用。