我在网上看到过各种关于如何最好地做到这一点的指南和建议,但没有一个能清楚地解释最好的方法和原因。所以我理解在安装过程中需要将 Debian 的一部分在其自己的分区上解密以允许它启动。我看到的大多数信息都是将其命名为 /boot 并设置启动标志。接下来我相信最好的方法是用所有剩余的磁盘空间创建另一个分区,对其进行加密,然后在其上创建一个 LVM,然后在 LVM 中创建我的各种分区,命名它们,选择大小和文件系统类型。我可以在加密的 LVM 部分中包含 /swap 吗?这种方法合理吗?如果可以,我应该使用哪些分区(这将是一个最小的服务器安装,以期在开发服务器需要时随时安装)?最后,安装程序如何知道在我定义的每个分区中放什么?
我知道有多个问题,但任何帮助和建议都会很感激。如果需要进一步说明,请在评论中提及。
编辑:2010/3/16
在 Richard Holloways 回复后,我认为有必要添加以下信息:
我之所以想这样做,是因为我对计算机安全和取证领域感兴趣,想探索如何最大限度地提高任何服务器安装和设置的安全性。此外,我还想尝试像在企业环境中执行一样执行这项任务。
从技术角度来说,一旦设置并配置了最少的软件包和 ssh,该服务器将很难从物理上访问,因此我只能通过 ssh 进入。(是的,我知道为什么要加密没人能拿到的东西?因为我可以而且我想这样做,这是简单的答案,但也请参见上文)。
答案1
为什么要加密呢?我在这里扮演魔鬼代言人,但是有原因的。
有充分的理由对可移动驱动器、笔记本电脑和其他便携式设备进行加密,以防丢失。
我想如果有人窃取了服务器或者获得了服务器的本地访问权限,那么你可能会丢失服务器。
对于笔记本电脑和其他个人机器,您可以输入密码以使服务器在启动时或根据需要解密设备。
您可以在服务器上执行此操作吗?如果服务器不需要此干预并且可以在启动时解密设备,则服务器加密后不会更安全。
答案是,这取决于您的情况和您要实现的目标。没有规定说您必须加密所有内容,如果您不知道为什么要加密,我怀疑您不需要加密。
根据您的编辑:
我将像这样对磁盘进行分区:
第一个分区 100MB,以 ext3 形式挂载在 /boot 上
其余磁盘格式化为加密 LVM。
然后我对 LVM 分区进行如下分区:
创建卷组vg0
创建以下逻辑卷:
/dev/vg0/root 安装在 /root 上,作为 3GB 的 ext3
/dev/vg0/swap 用作 swpa 空间,大小为 RAM 的两倍
/dev/vg0/var 安装在 /var 上,作为 7GB 的 ext3
/dev/vg0/home 使用剩余的可用空间作为 ext3 安装在 /home 上。
然后,除了 /boot 之外的所有内容都被加密。
答案2
取决于发行版。一般来说,您必须加密所有内容(读作:交换应该是加密 LVM 中的卷)。未加密的内容应保存在只随身携带的 CD-ROM 上,或者确保无人替换它。在 BIOS 上输入密码并仅从 CD-ROM 启动。