尽管有很多关于如何创建加密分区的信息(例如http://silvexis.com/2011/11/26/encrypting-your-data-on-amazon-ec2/),没有太多信息提示要加密什么。
由于 amazon 在启动期间不提供终端访问,因此系统需要能够在没有加密分区的情况下启动,并加载 dhcp 和 sshd 守护程序。之后,可以手动或自动连接到实例,并提供加密分区的密码。
考虑到所有这些,加密 /home、/tmp 和 swap 就很容易了。文件系统中还有其他部分我可以/应该分区并加密吗?
编辑:我可以对哪些内容进行分区和加密,并且仍能启动和加载网络/sshd?例如,我尝试加密所有 /var,但网络无法启动,因为它需要那里的文件。
答案1
出色地,
没有什么可以阻止您通过 dd 创建加密文件空间:
dd if=/dev/zero of=/home/dir/something count=$((65536*1024))
mkfs /home/dir/something
cryptsetup -d /dev/urandom create cryptoswap /dev/hda3
另请参阅https://help.ubuntu.com/community/EncryptedFilesystemHowto