我正在从备用 CD 安装并使用 LVM 加密硬盘。
安装程序现在询问我是否要加密我的主目录,这是否有点过度?
答案1
对于大多数系统来说,这有点过头了。“加密 LVM”可能是指“LUKS”(Linux 统一密钥设置)。
加密主目录可以保护您免受以下侵害:
- 同一系统上的其他用户访问你的文件
- 机器被盗/丢失时的数据盗窃
但不是来自:
- 修改用户主目录之外的系统设置或文件(包括二进制文件)。这样,管理员(或任何具有物理访问权限和 LiveCD 的人)都可以安装一个程序来复制/修改您的主目录中的文件/设置。
使用 LUKS 加密您的系统(在备用安装程序的情况下进行全盘加密):
- 机器被盗/丢失时的数据盗窃
- 数据完整性:任何不知道你的 LUKS 密码的人都无法修改你的系统设置或文件,尽管你仍然无法免受邪恶女仆袭击。
因此,如果您是系统的唯一用户,加密您的主目录不会增加显著的保护,只会降低性能。如果您与可以信任的人共享您的机器,并且您的计算机不包含绝密信息,您也不应该这样做。最后一种情况:如果您正在共享机器,并且机器上安装了多个操作系统,而您是唯一知道密码的人,则仍然不需要加密您的主目录。
答案2
这是否过度取决于你的情况。加密的主目录将保护你的个人数据不被系统上的其他用户以及外部入侵者窃取。此外,每增加一层加密都会让攻击者更难入侵。在我的备份驱动器上,它有客户端机器的图像,其中一些包含信用卡和社会保险号码,我使用整个磁盘加密,然后使用加密的主目录不同的密码和 [PPP]:https://www.grc.com/ppp.htm代码。对于包含人们个人信息的东西,我还会将其放入具有级联加密的 TrueCrypt 容器中。这可能有点过头了,但它涵盖了所有基础。窃取我的驱动器的人无法访问所有内容,以某种方式入侵正在运行的系统的人无法访问我的文件,而当我备份某些东西时获得控制台访问权限的人只能获得当前解密的备份集(这很可能是他们自己的数据。)
决定您需要什么级别的主要目的是发现某人可能对您的系统进行的攻击并将其阻止。整个磁盘加密可能足以满足 99% 的单用户系统的需求。