Включить шифрование диска после установки

41

Я запускаю 13.10 Saucy. Если я не включил шифрование диска во время установки, есть ли способ включить его post facto?

Я нашел это , в котором говорится, что шифрование должно происходят во время установки, но это также относится к Fedora. Я могу легко загрузиться в живой диск, если есть способ сделать это оттуда.

    
задан Isaac Dontje Lindell 27.10.2013 в 15:35
источник

4 ответа

36

Если вы хотите включить шифрование своей домашней папки, вам необходимо будет установить и использовать эти пакеты: ecryptfs-utils и cryptsetup . Также вам понадобится другая учетная запись пользователя с правами администратора (sudo). Полная документация находится здесь:

Если вы хотите включить полное шифрование диска после установки, скорее всего, короткий ответ: нет, вы не можете . В любом случае, если вас это интересует, ваш вопрос дублируется:

ответ дан Radu Rădeanu 01.11.2013 в 19:39
источник
12
  

Последующий вопрос: каковы верхние и нижние стороны полного диска против просто / дома?

Шифрование в / home выполняется с использованием файловой системы пользовательского пространства под названием ecryptfs . Это очень хорошо сделано и тесно связано с системой auth по умолчанию, так что у вас будут нулевые недостатки юзабилити: когда вы вводите свою учетную запись (либо из удаленной оболочки, либо из экрана входа по умолчанию), ваш пароль используется для разворачивания защищенного ключа , который затем используется для шифрования / дешифрования ваших файлов в вашем домашнем каталоге на лету (смонтированная файловая система будет находиться непосредственно в / home / username). Когда вы выходите из системы / home / username, размонтируется, и в системе остаются видимыми только зашифрованные файлы (обычно в /home/.ecryptfs/username/.Private/). Они выглядят как куча скремблированных / случайных файлов, так как имена файлов также зашифрованы. Единственной утечкой информации является: размер файлов, временные метки и количество файлов (с полным шифрованием диска они также скрыты).

Если ваша система должна делиться между несколькими пользователями, это очень хорошая функция, даже если вы решите добавить полное шифрование диска вместе с этим: безопасность полного шифрования диска отключена, когда машина работает и работает в то время как домашнее (ecryptfs) шифрование включено до тех пор, пока вы вышли из системы.

Таким образом, полное шифрование диска и домашнее шифрование не обязательно являются взаимоисключающими.

Вот список возможных настроек, в зависимости от различных требований безопасности:

  • ТОЛЬКО ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ДИСКА: Если вы используете компьютер только один, и ваш компьютер может обрабатывать накладные расходы на полное шифрование диска (все современные настольные компьютеры могут делать это без уведомления пользователя, нетбуков и старых ноутбуков не так много), вы можете использовать полное шифрование диска и поставить дом в том же раздел как ваша ОС (/).
  • ПОЛНАЯ ДИСКОВАЯ ЭНЕРГИЯ И HOME ECRYPTFS ENCRYPTION . Если вы беспокоитесь о том, что ваши личные данные читаются, пока ваш компьютер или вы делитесь своим компьютером с другими пользователями, тогда вы можете другой раздел из / и использование ecryptfs по полному шифрованию диска (это шифрование / через LUKS)
  • ТОЛЬКО ДЛЯ ТОГО, ЧТОБЫ ТОЛЬКО ДЛЯ ЭКСКУРСИИ ДЛЯ ДОМА. . Если вы не слишком беспокоитесь о том, что кто-то нарушает вашу систему во время вашего отсутствия, но вы по-прежнему хотите, чтобы ваши личные данные были безопасными, пропустите полное шифрование диска и просто используйте ecryptfs ( шифрование дома). Дополнительным преимуществом этого сценария является то, что это довольно легко настроить даже после ve установил Ubuntu, просто используя ecryptfs-migrate-home. Также это была настройка Ubuntu по умолчанию, прежде чем она изменила несколько выпусков, добавив возможность полного шифрования диска. Так как большинство современных настольных компьютеров могут обрабатывать полное шифрование диска без пота, и он добавляет тонкий уровень защиты от встраивания кода в автономном режиме, в установщик добавлено полное шифрование диска. Обратите внимание, что для большинства пользователей, просто зашифровавших свой дом с помощью ecryptfs, будет достаточно для их нужд: держать своих друзей и обычных похитителей ноутбуков от их личных данных. Кроме того, если вы были специально нацелены на организацию с правильными средствами, полное шифрование диска или просто домашнее шифрование не будет иметь большого значения, если вы также не установили много других параноидальных поведений (например: сохранение ядра в отдельном ручном накопителе, который всегда находится на вас, постоянно проверяя аппаратное вмешательство / клавиатурные шпионы и т. д.).
  

Если я не включил шифрование диска во время установки, есть ли способ включить его post facto?

Да, и теперь будет проще, если вы в настоящее время используете LVM и имеете достаточно места в своей системе, чтобы скопировать все ваши незашифрованные системные файлы в зашифрованный раздел LUKS. Я не буду вдаваться в подробности в данный момент, потому что не знаю, используете ли вы LVM, и если вы предпочитаете не просто использовать ecrypfs, а пропустить полный шифрование диска до следующей новой установки.     

ответ дан user824924 03.11.2013 в 03:12
2

Ну, вы можете сделать резервное копирование всех важных каталогов и установленного программного обеспечения. Убедитесь, что ваш 13.10 полностью обновлен, чтобы избежать конфликтов версий. Обычно делаются резервные копии:

После этого вы переустановите систему только теперь зашифрованную. Обновите его в полном объеме. Затем переместите резервную копию в зашифрованную систему и установите все программное обеспечение из предыдущей версии.

Просто не забудьте перезаписать файлы, важные для шифрования, при возврате резервной копии (например, /etc/fstab , /etc/cryptab , некоторые связанные с grub вещи и некоторые вещи в /boot не должны заменяться резервным копированием файлы).

    
ответ дан con-f-use 02.11.2013 в 17:32
1

Простой ответ: Нет.

Сложный ответ:

Шифрование диска или раздела приведет к стиранию всего содержимого на этом диске или разделе, поэтому для шифрования диска вы также должны удалить содержимое диска. Перед запуском необходимо сделать соответствующие резервные копии данных. Очевидно, это означает, что вы должны переустановить систему, чтобы использовать полное шифрование диска, ничем иным способом. Это связано с тем, что случайные данные будут записываться на весь диск, чтобы усложнить восстановление данных.

Но в настоящее время вам не нужно шифровать ваш корневой раздел. Помните, что если что-то идет по проводам, вы выходите из своей системы без возможности восстановления данных. Вместо этого вы должны зашифровать свою личную информацию.

См. соответствующий вопрос Как зашифровать полный диск после установки?

    
ответ дан Braiam 01.11.2013 в 21:51