ต้องการรูปแบบการเข้ารหัสดิสก์ Linux ที่ใช้งานง่าย

11

เพื่อประโยชน์ในการปกป้องข้อมูลส่วนบุคคลในกรณีที่แล็ปท็อปถูกขโมยฉันกำลังมองหาวิธีที่ดีที่สุดในการเข้ารหัสระบบ Linux

ข้อเสียของการเข้ารหัสดิสก์ทั้งหมดรวมถึง swap:

  • พรอมต์รหัสผ่านสำหรับการบู๊ตล่วงหน้าเป็นสิ่งที่น่าเกลียดและไม่เป็นเงาปรากฏตัวซ่อนอยู่ในข้อความบูต (บางอย่างเช่น Splashy สามารถจัดการสิ่งนี้ได้หรือไม่)
  • ต้องเข้าสู่ระบบสองครั้ง (ถ้าคุณมีหน้าจอเข้าสู่ระบบ GDM และต้องการผู้ใช้หลายคน)

ข้อเสียของการเข้ารหัสแต่ละโฟลเดอร์โดยใช้ libpam-mount หรือคล้ายกัน:

  • เฉพาะโฟลเดอร์หลักของผู้ใช้เท่านั้นที่ถูกเข้ารหัส (ในขณะที่ / etc, / var ฯลฯ อาจมีข้อมูลที่ละเอียดอ่อนเช่นกัน)
  • ไฟล์สวอปไม่ได้เข้ารหัสดังนั้นอาจมีการรั่วไหลของข้อมูลที่ละเอียดอ่อนในนั้น
  • ไม่มีวิธีการจำศีลอย่างปลอดภัย

ฉันใช้ Debian Linux ถ้ามันสำคัญ ไม่จำเป็นต้องมีความปลอดภัยที่น่าขัน แต่ต้องการความสบายใจว่าโจรไม่สามารถขโมยข้อมูลประจำตัวของฉัน, บัญชีธนาคาร, การเข้าสู่ระบบ VPN ฯลฯ หากถูกขโมยขณะที่ปิด / จำศีล

คุณรู้วิธีแก้ปัญหาดังกล่าวข้างต้นหรือไม่?

linux  encryption  disk-encryption 
thomasrutter
แหล่งที่มา

คำตอบ:

7

ปัญหาของคุณเป็นปัญหาที่พบบ่อย: โดยหลักแล้วความสมดุลระหว่างความปลอดภัยและการใช้งานที่ยาก

คำแนะนำของฉันคือใช้วิธีการแบบผสมที่แก้ไขเล็กน้อย:

  • การใช้ซอฟต์แวร์ข้ามแพลตฟอร์มเช่น TrueCrypt เตรียมไดรฟ์ข้อมูลที่เข้ารหัสอย่างน้อยหนึ่งรายการสำหรับข้อมูลส่วนบุคคลของคุณที่คุณไม่ได้ใช้ทุกวัน (รายละเอียดธนาคารรหัสผ่านที่บันทึกไว้บันทึกทางการแพทย์ ฯลฯ )
  • เหตุผลที่ใช้โวลุ่มมากกว่าหนึ่งเล่มคือคุณอาจต้องการสำรองข้อมูลในสื่อต่าง ๆ หรือใช้รูปแบบการเข้ารหัสที่แตกต่างกัน: ตัวอย่างเช่นคุณอาจต้องการแชร์บันทึกสุขภาพของคุณกับคนอื่นและบอกรหัสผ่านของคุณ (ซึ่งควรเป็น ต่างกันสำหรับอันที่ใช้สำหรับเล่มอื่น ๆ )
  • การใช้ซอฟต์แวร์ข้ามแพลตฟอร์ม "มาตรฐาน" หมายความว่าคุณจะสามารถกู้คืนข้อมูลของคุณจากระบบปฏิบัติการอื่นได้ทันทีหากแล็ปท็อปของคุณถูกขโมย / เสียหาย
  • การเข้ารหัสทั้งดิสก์มักจะยุ่งยากและยาก แม้ว่าจะมีการโจมตีอยู่บ้าง (ดูEvil Maid Attackมันจะมีประโยชน์หากคุณกลัวว่าจะเกิดอะไรขึ้นถ้าผู้คนสามารถเข้าถึงระบบทั้งหมดได้ตัวอย่างเช่นหากคุณใช้แล็ปท็อปของ บริษัท การเข้าถึงระดับผู้ดูแลระบบและมีคีย์ VPN ที่ไม่ควรถูกขโมย
  • รหัสผ่านที่แคชสำหรับเมล / เว็บ / แอปเป็นปัญหาอื่น: บางทีคุณอาจต้องการเข้ารหัสเฉพาะโฮมไดเร็กตอรี่ของคุณ? เพื่อเพิ่มประสิทธิภาพและความปลอดภัย / การใช้งานที่คุณสามารถทำได้:
    • เข้ารหัส dir บ้านทั้งหมด
    • softlink ไปยังไดเรกทอรีที่ไม่ได้เข้ารหัสบนระบบไฟล์ของคุณสำหรับข้อมูลที่คุณไม่สนใจว่าจะหายไป (เพลงวิดีโอ ฯลฯ )

อย่าลืมว่าทุกสิ่งทุกอย่างจะลดมูลค่าของสิ่งที่คุณต้องสูญเสียเปรียบเทียบกับมูลค่าของเวลาและค่าใช้จ่ายในการฟื้นฟู

lorenzog
แหล่งที่มา
คำแนะนำของคุณเป็นสิ่งที่ดี แต่สำหรับฉันเป็นการส่วนตัวฉันอยากจะไปกับ DM-crypt / luks มากกว่า Truecrypt เพียงเพราะมันได้รับการสนับสนุนจาก distro ของฉัน ในกรณีที่คุณสนใจสามารถถอดรหัสและติดตั้งไดรฟ์ข้อมูลดังกล่าวจาก Windows หรือดิสก์สำหรับบูตอื่นได้ทันที
thomasrutter
TrueCrypt มีการเข้ารหัสปริมาณที่ปลอดภัยในระหว่างการไฮเบอร์เนตหรือไม่?
Craig McQueen
@thomasrutter: ฉันเข้าใจ เป็นผู้ใช้ mac ฉันต้องการไปกับโซลูชันที่มีช่วงกว้างของระบบปฏิบัติการที่รองรับในเวลา
lorenzog
ฉันได้รับรางวัลสำหรับคำตอบของคุณเพราะในขณะที่มันไม่ได้แก้ปัญหาทั้งหมดของฉันมันเป็นประโยชน์และมีตัวชี้ที่ดีบางอย่าง ตา!
thomasrutter
2

ฉันไม่เข้ารหัสฮาร์ดไดรฟ์ทั้งหมดมันเป็นสิ่งที่ผู้ดูแลระบบ / การจัดการมากเกินไป

ดังนั้นฉันจึงใช้การเข้ารหัส DM เพื่อสร้างพาร์ทิชันที่เข้ารหัสแบบลอจิคัล

ฉันสร้างสคริปต์รอบ ๆ ซึ่งฉันใช้ทุกวันดูว่ามันช่วยคุณได้ไหม ฉันเรียกสิ่งนี้ภายใต้. bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Chinmaya
แหล่งที่มา
1

คุณสามารถใช้ pend drive สำหรับจัดเก็บคีย์เข้ารหัส เพื่อความปลอดภัยที่ดีที่สุดควรได้รับการป้องกันด้วยรหัสผ่าน แต่ไม่จำเป็นต้อง

http://loop-aes.sourceforge.net/loop-AES.READMEดูตัวอย่าง 7

Maciek Sawicki
แหล่งที่มา
ขอบคุณสำหรับคำแนะนำถึงแม้ว่าฉันไม่สบายใจเกี่ยวกับแท่ง USB ที่ถูกขโมยสูญหาย ฯลฯ ฉันอาจใช้รหัสผ่านอื่นแทน
thomasrutter
1

ฉันยังค่อนข้างใหม่กับ Linux แต่ฉันคิดว่าเมื่อคุณติดตั้งระบบเมื่อมีวิธีการเปิดการเข้ารหัสทั้งดิสก์ TrueCrypt มีแพ็คเกจ. deb

ฉันยังไม่ได้ใช้การเข้ารหัสดิสก์บน Linux ดังนั้นตัวเลือกเหล่านี้อาจมีปัญหาเช่นคุณอธิบายข้างต้น สำหรับการเข้าสู่ระบบแบบหลายผู้ใช้อาจตั้งค่า TrueCrypt เพื่อใช้ไฟล์คีย์ในไดรฟ์ USB สิ่งที่คุณต้องการก็คือแล็ปท็อปและไดรฟ์ USB เพื่อเข้าถึงไฟล์บนแล็ปท็อป

ฉันยังเรียนรู้ Linux ด้วยตัวเองดังนั้นฉันหวังว่านี่จะช่วย

Scott McClenning
แหล่งที่มา
ใช่ Debian (และอาจเป็น distros อื่น ๆ ) สามารถทำการเข้ารหัสดิสก์ทั้งหมดในตัวติดตั้งและก็ดีเหมือนกัน - แต่ได้รับผลกระทบจากปัญหาในสัญลักษณ์แสดงหัวข้อย่อยชุดแรกที่ฉันโพสต์ นอกเหนือจากนั้นตัวเลือกนี้ (เช่น Luks วอลุ่มที่มีโลจิคัลวอลุ่มอยู่) น่าจะเป็นตัวเลือกที่ดีที่สุดที่ฉันทราบมา
thomasrutter
0

คุณเป็นห่วงเรื่องอะไร เวกเตอร์โจมตีอะไร? ก่อนที่คุณจะจริงจังเกี่ยวกับความปลอดภัยคุณต้องมีคำตอบสำหรับคำถามสองข้อนี้

"ข้อมูลส่วนบุคคล" แสดงให้เห็นว่าคุณกังวลเกี่ยวกับสิ่งต่าง ๆ เช่นการขโมยข้อมูลส่วนตัวสนูปเปอร์แบบไม่เป็นทางการ & c บางอย่างเช่นซอฟต์แวร์พวงกุญแจก็เพียงพอที่จะป้องกันรายละเอียดการเข้าสู่ระบบของธนาคาร & c แต่ไม่สามารถใช้ได้กับข้อมูลจำนวนมาก

หากคุณมีข้อมูลจำนวนมากที่คุณต้องการปกป้องข้อมูลที่คุณไม่ต้องการการเข้าถึงที่รวดเร็วและคุณยินดีที่จะจ่ายเงินที่เกิดขึ้นเป็นประจำฟรีจากนั้น S4 ของ Amazon เป็นตัวเลือกที่ดี การเข้าถึงเพื่อลดความปลอดภัยให้กับการจัดการคีย์ซึ่งแก้ไขได้อีกครั้งด้วยซอฟต์แวร์พวงกุญแจ Amazon ไม่เห็นเนื้อหาของสิ่งที่คุณเก็บด้วยวิธีนี้ แต่มีเพียงผลลัพธ์ที่เข้ารหัส แน่นอนนี่หมายความว่าถ้าคุณทำผิดพลาดและทำให้กุญแจหายไป Amazon ก็ช่วยคุณไม่ได้

ในกรณีที่สามกรณีที่คุณต้องการเข้าถึงข้อมูลจำนวนมากอย่างรวดเร็วฉันขอแนะนำให้ใช้การเข้ารหัสดิสก์ไม่ทั้งหมด แต่การเข้ารหัสพาร์ติชันทั้งหมดตามคำแนะนำของ chinmaya การเข้ารหัสไดเรกทอรีเป็นสิ่งที่สร้างความรำคาญและฉันไม่แนะนำเลย: ให้ระบบการจัดเก็บไฟล์ทำงานได้

Charles Stewart
แหล่งที่มา
เวกเตอร์โจมตี: ขโมยขโมยสมุดบันทึกของฉันในขณะที่ปิดอยู่หรืออยู่ในโหมดไฮเบอร์เนต ขโมยต้องการค้นหาข้อมูลเกี่ยวกับฉันรูปถ่ายของฉันหรือรหัสผ่านของฉันในเว็บไซต์ต่าง ๆ เว็บไซต์ที่ฉันเข้าชมหรือเป็นสมาชิกของหรือธนาคารที่ ฯลฯ
thomasrutter
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.