Последующий вопрос: каковы верхние и нижние стороны полного диска против просто / дома?
Шифрование в / home выполняется с использованием файловой системы пользовательского пространства под названием ecryptfs . Это очень хорошо сделано и тесно связано с системой auth по умолчанию, так что у вас будут нулевые недостатки юзабилити: когда вы вводите свою учетную запись (либо из удаленной оболочки, либо из экрана входа по умолчанию), ваш пароль используется для разворачивания защищенного ключа , который затем используется для шифрования / дешифрования ваших файлов в вашем домашнем каталоге на лету (смонтированная файловая система будет находиться непосредственно в / home / username).
Когда вы выходите из системы / home / username, размонтируется, и в системе остаются видимыми только зашифрованные файлы (обычно в /home/.ecryptfs/username/.Private/). Они выглядят как куча скремблированных / случайных файлов, так как имена файлов также зашифрованы. Единственной утечкой информации является: размер файлов, временные метки и количество файлов (с полным шифрованием диска они также скрыты).
Если ваша система должна делиться между несколькими пользователями, это очень хорошая функция, даже если вы решите добавить полное шифрование диска вместе с этим: безопасность полного шифрования диска отключена, когда машина работает и работает в то время как домашнее (ecryptfs) шифрование включено до тех пор, пока вы вышли из системы.
Таким образом, полное шифрование диска и домашнее шифрование не обязательно являются взаимоисключающими.
Вот список возможных настроек, в зависимости от различных требований безопасности:
-
ТОЛЬКО ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ДИСКА: Если вы используете компьютер только один, и ваш компьютер может
обрабатывать накладные расходы на полное шифрование диска (все современные настольные компьютеры могут
делать это без уведомления пользователя, нетбуков и старых ноутбуков не
так много), вы можете использовать полное шифрование диска и поставить дом в том же
раздел как ваша ОС (/).
-
ПОЛНАЯ ДИСКОВАЯ ЭНЕРГИЯ И HOME ECRYPTFS ENCRYPTION . Если вы беспокоитесь о том, что ваши личные данные читаются, пока ваш компьютер
или вы делитесь своим компьютером с другими пользователями, тогда вы можете
другой раздел из / и использование ecryptfs по полному шифрованию диска (это шифрование / через LUKS)
-
ТОЛЬКО ДЛЯ ТОГО, ЧТОБЫ ТОЛЬКО ДЛЯ ЭКСКУРСИИ ДЛЯ ДОМА. . Если вы не слишком беспокоитесь о том, что кто-то нарушает вашу систему во время вашего отсутствия, но вы по-прежнему хотите, чтобы ваши личные данные были безопасными, пропустите полное шифрование диска и просто используйте ecryptfs ( шифрование дома). Дополнительным преимуществом этого сценария является то, что это довольно легко настроить даже после ve установил Ubuntu, просто используя ecryptfs-migrate-home.
Также это была настройка Ubuntu по умолчанию, прежде чем она изменила несколько выпусков, добавив возможность полного шифрования диска. Так как большинство современных настольных компьютеров могут обрабатывать полное шифрование диска без пота, и он добавляет тонкий уровень защиты от встраивания кода в автономном режиме, в установщик добавлено полное шифрование диска. Обратите внимание, что для большинства пользователей, просто зашифровавших свой дом с помощью ecryptfs, будет достаточно для их нужд: держать своих друзей и обычных похитителей ноутбуков от их личных данных. Кроме того, если вы были специально нацелены на организацию с правильными средствами, полное шифрование диска или просто домашнее шифрование не будет иметь большого значения, если вы также не установили много других параноидальных поведений (например: сохранение ядра в отдельном ручном накопителе, который всегда находится на вас, постоянно проверяя аппаратное вмешательство / клавиатурные шпионы и т. д.).
Если я не включил шифрование диска во время установки, есть ли способ включить его post facto? Р>
Да, и теперь будет проще, если вы в настоящее время используете LVM и имеете достаточно места в своей системе, чтобы скопировать все ваши незашифрованные системные файлы в зашифрованный раздел LUKS. Я не буду вдаваться в подробности в данный момент, потому что не знаю, используете ли вы LVM, и если вы предпочитаете не просто использовать ecrypfs, а пропустить полный шифрование диска до следующей новой установки. р>