เหตุผลใด ๆ สำหรับการเข้ารหัส /?

9

ฉันเป็นแฟนตัวยงของ linux และชอบลอง distros ใหม่ตอนนี้ ฉันมักจะมีโฟลเดอร์ภายในบ้านและรูทในเลเวลบนพาร์ติชั่นที่เข้ารหัส แต่สิ่งนี้มีแนวโน้มที่จะยุ่งยากกับทุกขั้นตอนการสร้าง initramfs ซึ่งเป็นคนต่างด้าวมากกว่าคนสุดท้าย

ฉันให้ความสำคัญกับความเป็นส่วนตัว แต่ข้อมูลหรือส่วนบุคคลที่มีค่าส่วนใหญ่ของฉันจะถูกเก็บไว้ในโฟลเดอร์บ้าน ยิ่งกว่านั้นฉันแบ่งพาร์ติชันโดยใช้ GPT ดังนั้นหลายพาร์ติชันจึงไม่ยากที่จะติดตั้งแม้จะอยู่นอก LVM

ดังนั้นคำถามคือรูทการเข้ารหัสและเลเวลไอเอ็นจีของ "/" มันคุ้มค่าโดยเฉพาะอย่างยิ่งกับความยุ่งเหยิงของผู้ใช้งานในช่วงแรกที่ฉันต้องจัดการกับมันหรือไม่?

lvm encryption root-filesystem

— nikitautiu
แหล่งที่มา

2

บางทีสิ่งที่ฉันควรจะพูดถึงคือ swap ฉันทำงานบนแล็ปท็อปดังนั้นฉันมักจะใช้ swap-to-disk นี่เป็นคุณสมบัติที่ใช้ประโยชน์ได้ง่ายเว้นแต่พาร์ทิชันจะถูกเข้ารหัสและเนื่องจากการติดตั้งการแลกเปลี่ยนนั้นทำก่อนรูทเมาต์ซึ่งหมายความว่าฉันอาจเมา / ด้วยเช่นกันในขณะที่ฉันอยู่ที่นั่น

— nikitautiu

12

ก่อนอื่นความยุ่งยากทั้งหมดที่มีการเข้ารหัสรูทและพื้นที่ผู้ใช้ก่อนหน้านั้นโดยทั่วไปแล้วการจัดการของคุณได้รับการจัดการแล้ว (เท่าที่ฉันรู้จัก Fedora, Debian, Ubuntu และ OpenSUSE สนับสนุนการเข้ารหัสรูทออกจากกล่อง) นั่นหมายความว่าคุณไม่ต้องสนใจการตั้งค่าเอง

เหตุผลหนึ่งในการเข้ารหัส/เพื่อให้แน่ใจว่าคุณจะไม่รั่วไหลของข้อมูลใด ๆ เลย คิดเกี่ยวกับโปรแกรมที่เขียนข้อมูลชั่วคราวลงใน/ tmpไฟล์บันทึกที่มีข้อมูลที่ละเอียดอ่อนเช่นชื่อผู้ใช้ / รหัสผ่านใน/ var / logหรือไฟล์กำหนดค่าที่มีข้อมูลรับรองเช่นรหัสผ่านใน/ etc / fstabหรือคำสั่งบางอย่างในประวัติเชลล์ของผู้ใช้รูท

การใช้ LVM แทนพาร์ติชันมีข้อดีอย่างหนึ่งคุณสามารถปรับขนาด / เปลี่ยนชื่อ / ลบโลจิคัลวอลุ่มได้อย่างง่ายดายโดยไม่จำเป็นต้องแบ่งพาร์ติชั่นดิสก์ของคุณอีกครั้งมันสะดวกกว่าการใช้พาร์ติชัน (GPT หรือ MBR)

— Ulrich Dangel
แหล่งที่มา

สำหรับฉัน LVM เป็นมาตรฐานที่แท้จริงมาโดยตลอดมันให้ความยืดหยุ่นมากกว่าการแบ่งพาร์ติชันแบบดั้งเดิมโดยเฉพาะในสภาพแวดล้อมแบบมัลติบูต นอกจากนี้ตราบใดที่ฉันเรียนรู้วิธีใช้เครื่องมือเริ่มต้นและ mkinitcpio ฉันก็อาจเรียนรู้เครื่องมือ ramfs อื่น ๆ ที่ distro แปลกใหม่มีให้ : D

— nikitautiu

1

@vitiv สำหรับเครื่องมือเริ่มต้นระเบียนมีการรวม cryptoroot ที่ยอดเยี่ยมเพียงติดตั้ง cryptsetup สร้าง appropiate / etc / crypttab ที่เหมาะสมปรับ / etc / fstab และคุณทำเสร็จแล้ว

— Ulrich Dangel

10

/etc, /varและ/tmpมาใจ ทุกคนสามารถมีเนื้อหาที่ละเอียดอ่อนได้ ทั้งหมดสามารถได้รับโวลุ่มแยกต่างหาก แต่เป็นเรื่องปกติที่แต่ละไฟล์จะอยู่ในระบบไฟล์เดียวกับไดเร็กทอรีรูท บางทีคุณอาจย้ายหนึ่งหรือมากกว่านั้นลงในเล่มของตัวเอง แต่คุณได้ย้ายพวกเขาทั้งหมดหรือไม่

/etc ประกอบด้วย:
- รหัสผ่านที่แฮช อาจมีหลายประเภทเช่น/etc/shadowและ/etc/samba/smbpasswd
- ไพรเวตคีย์ประเภทต่าง ๆ : SSL, SSH, Kerberos ...
/var ประกอบด้วย:
- /var/logเนื้อหาส่วนใหญ่มีวัตถุประสงค์เพื่อรูทแบบอ่านอย่างเดียวเนื่องจากอาจมีข้อมูลที่ละเอียดอ่อน ตัวอย่างเช่น/var/log/httpd/access_logอาจมีข้อมูล GET ซึ่งเป็นรายการที่ไม่ได้เข้ารหัสโดยผู้ใช้ของเว็บไซต์และอาจมีความอ่อนไหว
- ไฟล์ฐานข้อมูล MySQL มักจะจัดเก็บไฟล์ตารางและดัชนีใน/var/lib/mysqlตัวอย่างเช่น
/tmpมีไฟล์ชั่วคราวซึ่งอาจไม่ส่งผลกระทบต่อเสียงรบกวน แต่มีการโจมตีซอฟต์แวร์ Unix จำนวนมากที่เกี่ยวข้องกับสภาพการแข่งขันเนื่องจากสามารถแก้ไขหรือสนิปไฟล์ชั่วคราวในขณะที่กระบวนการกำลังพยายามใช้งาน ฉันรู้ว่าในหลายกรณีเนื้อหาไฟล์มีความละเอียดอ่อนในระยะสั้นเท่านั้น (เช่นไม่ผ่านการรีบูต) แต่ฉันคิดว่าบางโปรแกรมอาจขึ้นอยู่กับวิธีการที่บิตเหนียวและmkstemp (3)ประพฤติแคชชั่วคราวไว ข้อมูลเช่นกัน

— วอร์เรนยัง
แหล่งที่มา

3

/ etc และ / var เป็นจุดที่ดี สำหรับ / tmp เกือบตลอดเวลาตั้งค่าเป็น tmpfs

— nikitautiu

4

อีกเหตุผลหนึ่งคือการป้องกันการดัดแปลงระบบไฟล์ เมื่อทำการเข้ารหัสแล้วมันมีความซับซ้อนมากกว่าที่จะทำทุกอย่างที่สามารถกัดคุณในการบู๊ตครั้งต่อไปเช่นวางรูทคิตบนระบบไฟล์ของคุณ (ไม่ว่าจะเป็นการบูตซีดีสดหรือย้าย HDD ไปยังเครื่องอื่นชั่วคราว) เคอร์เนลของคุณ (และเริ่มต้น) ยังคงมีช่องโหว่ แต่สามารถบรรเทาได้โดยใช้การบู๊ตที่ปลอดภัย (ด้วยการบูตระบบที่มีการเซ็นอย่างถูกต้อง) หรือการบู๊ตจากอุปกรณ์พกพาที่ปลอดภัย (เช่นแฟลชไดรฟ์หรือการ์ดหน่วยความจำ เวลา).

— peterph
แหล่งที่มา

แน่นอนว่าการเข้ารหัส / home ไม่มีค่าหากไบนารีทั้งหมดสามารถถูกแก้ไขก่อนที่ผู้ใช้จะบู๊ตครั้งต่อไป ฉันจะบอกว่านี่เป็นคำตอบที่สำคัญที่สุด / การเข้ารหัสที่บ้านปกป้องจากการโจรกรรมอย่างฉับพลัน

— infinite-etcetera