加密文件系统信息泄露

Question

除了主目录之外，还有三个具有可写数据的目录层次结构：/etc、/tmp和/var。

/etc包含系统配置文件，其中大多数通常不敏感。但那里可能存在敏感数据，例如 WiFi 密码。
/tmp可能包含敏感数据；几乎任何程序都可能将临时文件放在那里。通过将其设为内存中文件系统 ( tmpfs) 可以轻松解决此问题。这样，如果它的内容最终出现在磁盘上，它将处于交换中，如果您关心加密任何内容，则必须对其进行加密。
/var有很多子目录。尤其：
- /var/tmp就像/tmp，但它应该在磁盘上。很少有程序在那里写入，但是当它被使用时，通常是针对大文件。很难预测谁会需要它，因此应该对其进行加密。
- /var/mail（或/var/spool/mail）最终可能包含敏感数据，也可能不包含。这取决于您如何使用本地邮件以及来自 cron 作业的错误消息是否可能包含敏感数据。
- /var/spool/cups或/var/spool/lp（或其他一些变体）在打印期间包含临时文件。如果您打印过机密文档，也应该对其进行加密。
- 中的其他目录/var/spool可能包含敏感数据，例如外发电子邮件。
- 敏感信息可能最终出现在系统登录中/var/log。
- 正如您所指出的，如果您有敏感文件名，它们可能最终会出现在该主题的/var/cache/locate或/var/lib/mlocate或变体中。

如果您想安心，只需加密除之外的所有内容/boot。如今，大多数计算机的功能都足够强大，CPU 上的加密成本可以忽略不计，并且大多数发行版都可以轻松支持全盘加密。

Answer 1

除了主目录之外，还有三个具有可写数据的目录层次结构：/etc、/tmp和/var。

/etc包含系统配置文件，其中大多数通常不敏感。但那里可能存在敏感数据，例如 WiFi 密码。
/tmp可能包含敏感数据；几乎任何程序都可能将临时文件放在那里。通过将其设为内存中文件系统 ( tmpfs) 可以轻松解决此问题。这样，如果它的内容最终出现在磁盘上，它将处于交换中，如果您关心加密任何内容，则必须对其进行加密。
/var有很多子目录。尤其：
- /var/tmp就像/tmp，但它应该在磁盘上。很少有程序在那里写入，但是当它被使用时，通常是针对大文件。很难预测谁会需要它，因此应该对其进行加密。
- /var/mail（或/var/spool/mail）最终可能包含敏感数据，也可能不包含。这取决于您如何使用本地邮件以及来自 cron 作业的错误消息是否可能包含敏感数据。
- /var/spool/cups或/var/spool/lp（或其他一些变体）在打印期间包含临时文件。如果您打印过机密文档，也应该对其进行加密。
- 中的其他目录/var/spool可能包含敏感数据，例如外发电子邮件。
- 敏感信息可能最终出现在系统登录中/var/log。
- 正如您所指出的，如果您有敏感文件名，它们可能最终会出现在该主题的/var/cache/locate或/var/lib/mlocate或变体中。

如果您想安心，只需加密除之外的所有内容/boot。如今，大多数计算机的功能都足够强大，CPU 上的加密成本可以忽略不计，并且大多数发行版都可以轻松支持全盘加密。

相关内容