我想要一个只能通过密码访问的目录,并且要加密。我想要比权限更安全的东西。我一直在研究 Linux 的 truecrypt 和 dm-crypt,但我读到了一些关于 Truecrypt 可靠性的抱怨(复制输入/输出时出现问题,使用 truecrypt 分区时挂起),一开始我觉得它看起来很不错。
请提供一些经验或建议?
谢谢!
答案1
答案2
我用过dm-隐窝适用于我的笔记本电脑上的整个文件系统,以及几台服务器(ubuntu/debian)上的特定分区。我从未遇到过任何可靠性问题。它不是fips-140-2如果您在意的话,我建议您使用经过认证的版本,但我不知道 Linux 下有什么。我并没有真正做过任何性能测量,但我没有注意到有什么太大的影响。在使用过程中,我比较偏执,然后担心速度。
如果您真的担心加密问题,您可能需要确保您的交换和 /tmp 文件系统已加密。您的数据可能被加密到 /home 中,然后由于某种原因,这些数据被交换到交换分区中。在少数情况下,某些应用程序在 /tmp 中执行某些工作。如果您的文件副本也以明文形式保存在某个临时文件或交换文件中,加密对您没有多大帮助。
答案3
正如 tj111 提到的,您可以使用 ecryptfs 或类似的东西来加密磁盘上目录的内容。但是,当一个人挂载该目录时,它将被挂载到计算机上的所有用户,并且您仍然必须使用文件权限保护其中的文件。此用户还必须能够挂载该目录,因此您需要为他们提供某种机制来执行此操作(root 访问权限?setuid 二进制文件?)。
除此之外,如果您的组结构正确,并且没有特权升级错误,您的数据应该在文件权限下是安全的。如果用户无法物理访问机器,他们就不应该能够直接读取磁盘(或将其移除)或在单用户模式下启动。
您是否担心在使用计算机时数据是否保持加密,或者是否仅在磁盘上保持数据加密?