我打算在我的计算机上安装 Ubuntu。我研究了安装说明,发现其中一个步骤是选择是否加密 Ubuntu 系统。我知道加密可以增强安全性。如果一台没有加密的计算机被盗,窃贼只需使用启动盘绕过 Linux 登录即可访问数据。但是,我读到加密也有一些可能的缺点,但我读到的内容对我来说并不完全清楚。我想知道是否有人可以澄清这个问题。
有关加密的利弊的文章位于
https://www.makeuseof.com/tag/4-reasons-encrypt-linux-partitions/
正如本文所述,一个明显的缺点是,如果用户忘记了自己的加密密钥,计算机上的数据将无法访问。我会选择一个我永远不会忘记的加密密钥。所以,这对我来说不应该是个问题。文章指出,另一个缺点是加密会降低计算机的速度,但这对于当今的机器来说不是什么大问题。
文章还声称,如果操作系统出现问题,加密会使数据检索更加困难。我发现对这一点的解释很混乱,我想知道是否有人可以详细说明这一点。
我知道人们可以选择加密整个硬盘、只加密主目录或只加密主目录的某些部分。我对加密整个硬盘或主目录感兴趣,我想知道这两个选项的优缺点如何。
我知道只有在安装 Ubuntu 时才可以加密整个硬盘,但可以随时加密主目录。对吗?
由于我的所有数据都位于主目录中,因此我认为没有必要加密整个硬盘。我是否正确认为这样做没有任何好处,并且加密主目录足以保护数据免遭计算机窃贼的窃取?
如果我只加密主目录,从损坏的 Ubuntu 系统中检索数据会比加密整个硬盘更容易吗?如果只加密主目录,数据检索也会有问题吗?
我怀疑只有加密主目录的计算机运行速度会比硬盘完全加密的计算机更快。对吗?
文章指出,如果 Linux 操作系统出现问题,可能需要恢复磁盘,如果磁盘已加密并且密钥被遗忘,则无法恢复。我认为没有必要加密恢复磁盘,因为它不包含个人数据。即使恢复磁盘未加密,在具有加密硬盘或主目录的系统上恢复仍然很困难吗?
我知道我应该定期备份数据。但我仍然希望数据检索尽可能简单。我也知道计算机加密只能在有人窃取计算机的情况下保护隐私,额外的安全措施始终是必要的。
最后,如果我遗漏了任何潜在问题,那么我将非常感激有人向我指出这些问题。
感谢您的帮助。
答案1
加密笔记本电脑的好处是,即使笔记本电脑被盗,数据也无法访问。在日常使用中,您永远不会注意到驱动器已加密。加密和解密存储数据所需的额外开销在现代笔记本电脑上几乎不明显。
是否加密、如何配置系统等都只是次要的。损坏的操作系统很容易在不到一小时内再次下载并重新安装。
最重要的是为您的个人数据制定良好的备份策略。您的个人数据是独一无二的,一旦丢失就无法再次下载。因此,首先请确保您拥有一些最新的个人数据备用副本。随时可用。无论您是否加密,无论您使用的是 Linux、Windows 还是 MacOS,您的计算机总是有可能出现问题。
至于是否加密,由您决定。如果您认为当笔记本电脑被盗或有人试图访问时,没有人能获取您的数据非常重要,那么就加密吧。就我个人而言,我不这么认为,但这是我唯一的决定。总是需要权衡:更高的安全性通常意味着更少的便利性。如果对硬盘驱动器进行数据加密,对于日常使用来说,便利性的损失几乎微不足道 - 您只需在启动时提供密码,如果没有加密,则无需这样做。
具体问题的答案
正如本文所述,一个明显的缺点是,如果用户忘记了自己的加密密钥,计算机上的数据将无法访问。我会选择一个我永远不会忘记的加密密钥。所以,这对我来说不应该是个问题。
至关重要的是,您确实不要忘记:否则没有人可以再次访问该驱动器。
文章指出,另一个缺点是加密会降低计算机速度,但对于当今的机器来说,这并不是什么大问题。
确实如此。
文章还声称,如果操作系统出现问题,加密会使数据检索更加困难。我发现对这一点的解释很混乱,我想知道是否有人可以详细说明这一点。
首先,你必须确保永远不需要数据检索,因为你有良好的数据备份。所以这一点并不那么重要。
您可能可以想象,加密的数据在设计上更难访问,因此检索起来也更困难。即使文件系统消失,仍可以识别未加密的二进制数据并将其从磁盘刻录到可用文件中(使用 等工具)。photorec当然,如果磁盘上的数据被加密弄乱了,就不可能做到这一点。
我知道人们可以选择加密整个硬盘、只加密主目录或只加密主目录的某些部分。我对加密整个硬盘或主目录感兴趣,我想知道这两个选项的优缺点如何。
Ubuntu 曾经支持开箱即用的主目录加密,但现在不再支持了。最彻底、实际上也是最简单的加密形式是更深层次的加密,即实际文件系统的加密。
我知道只有在安装 Ubuntu 时才可以加密整个硬盘,但可以随时加密主目录。对吗?
是的,您可以自己安装并启用每个目录的加密。
由于我的所有数据都位于主目录中,因此我认为没有必要加密整个硬盘。我是否正确认为这样做没有任何好处,并且加密主目录足以保护数据免遭计算机窃贼的窃取?
出于实际目的,如果您需要加密,您也可以加密整个驱动器。该选项集成在操作系统中,而其他加密方式必须手动设置。加密系统文件确实没有太多优势,但也没有劣势。无论如何,请阅读有关此问题的一些建议Stackexchange 网站在安全方面。
如果我只加密主目录,从损坏的 Ubuntu 系统中检索数据会比加密整个硬盘更容易吗?如果只加密主目录,数据检索也会有问题吗?
我怀疑只有加密主目录的计算机运行速度会比硬盘完全加密的计算机更快。对吗?
但你永远不会注意到。
文章指出,如果 Linux 操作系统出现问题,可能需要恢复磁盘,如果磁盘已加密并且密钥被遗忘,则无法恢复。我认为没有必要加密恢复磁盘,因为它不包含个人数据。即使恢复磁盘未加密,在具有加密硬盘或主目录的系统上恢复仍然很困难吗?
如果系统崩溃,有多种方法可以恢复系统。有一种方法总是有效的,而且对于桌面用户来说,这可能是最简单的方法:从头开始重新安装并从备份中恢复数据。如果卷已加密,则在恢复提示符下或从恢复磁盘对损坏的系统进行操作会有些复杂,因为确实需要解密该卷。当然,如果密码丢失,这将是不可能的。
我知道我应该定期备份我的数据。
把这作为你的首要任务。其他都是次要的。如果你的个人数据是安全的,那么即使你的笔记本电脑掉进游泳池,你也是安全的。
尽管如此,我还是希望数据检索尽可能简单。
如果您进行了备份,那么您已经可以轻松检索数据。只需将数据复制回系统即可。
我也知道,计算机加密只能在有人窃取机器的情况下保护隐私,并且始终需要采取额外的安全措施。
是的,你需要照顾好你的东西。
最后,如果我遗漏了任何潜在问题,那么我将非常感激有人向我指出这些问题。
没有,如果我说服你,作为一个桌面用户,你已经拥有了良好、最新和当前的备用副本。
答案2
除了@vanadium 的出色回答之外,我还想补充几点。
可以完全加密已安装的系统。这并不容易,但可以使用
cryptsetup reencrypt或通过对文件系统进行映像处理并将其恢复到加密容器中。如果中断或操作不当,这两种方法都可能导致数据丢失,因此无论如何您都应该有最新的备份。如果您的设置不复杂,那么重新安装加密并从备份中恢复可能会更容易。尽量让备份程序尽可能方便 - 最好是完全自动化。越不方便,您越有可能跳过备份。考虑使用专用备份工具,而不是手动复制文件。找出最适合您的方法以及您可以容忍多少数据丢失。(一个月?一周?一天?)
如果备份无法恢复,那么它就毫无意义,因此请确保您的程序确实有效,并且速度可以满足您的需求。在您需要之前对其进行测试,因为可能已经太迟了。
某些软件可能会将文件存储在主目录之外,因此请在规划时考虑这一点。值得注意的是,Docker 将用于
/var/lib/docker存储图像和容器数据。加密不仅能防止数据被盗,还能防止未经授权的人篡改系统(邪恶女仆攻击)。您可能不需要这种保护。如果需要,那么:
- 你肯定需要全盘加密。如果一个邪恶的女仆可以安装恶意软件,并在你解锁后窃取它,那么主目录加密就毫无用处了。
- 为了真正做到万无一失,整个靴链必须受到保护。这意味着 UEFI 使用安全启动进行启动,使用自定义密钥、签名的引导加载程序、经过身份验证的内核和 initramfs 以及受密码保护的 UEFI 设置。
- 您的备份也必须加密。如果有人想获得您的数据,只要他们能获得未加密的副本,他们就不会费心去绕过加密。
再次强调,这可能超出您的需求。找出您的威胁模型并制定相应的计划。