Включить шифрование диска после установки

Если вы хотите включить шифрование своей домашней папки, вам необходимо будет установить и использовать эти пакеты: ecryptfs-utils и cryptsetup . Также вам понадобится другая учетная запись пользователя с правами администратора (sudo). Полная документация находится здесь:

• Как зашифровать домашнюю папку после Установка Ubuntu

Если вы хотите включить полное шифрование диска после установки, скорее всего, короткий ответ: нет, вы не можете . В любом случае, если вас это интересует, ваш вопрос дублируется:

• Есть ли способ сделать полное шифрование диска после установки?
• Полное шифрование диска

  

Последующий вопрос: каковы верхние и нижние стороны полного диска против просто / дома?

Шифрование в / home выполняется с использованием файловой системы пользовательского пространства под названием ecryptfs . Это очень хорошо сделано и тесно связано с системой auth по умолчанию, так что у вас будут нулевые недостатки юзабилити: когда вы вводите свою учетную запись (либо из удаленной оболочки, либо из экрана входа по умолчанию), ваш пароль используется для разворачивания защищенного ключа , который затем используется для шифрования / дешифрования ваших файлов в вашем домашнем каталоге на лету (смонтированная файловая система будет находиться непосредственно в / home / username). Когда вы выходите из системы / home / username, размонтируется, и в системе остаются видимыми только зашифрованные файлы (обычно в /home/.ecryptfs/username/.Private/). Они выглядят как куча скремблированных / случайных файлов, так как имена файлов также зашифрованы. Единственной утечкой информации является: размер файлов, временные метки и количество файлов (с полным шифрованием диска они также скрыты).

Если ваша система должна делиться между несколькими пользователями, это очень хорошая функция, даже если вы решите добавить полное шифрование диска вместе с этим: безопасность полного шифрования диска отключена, когда машина работает и работает в то время как домашнее (ecryptfs) шифрование включено до тех пор, пока вы вышли из системы.

Таким образом, полное шифрование диска и домашнее шифрование не обязательно являются взаимоисключающими.

Вот список возможных настроек, в зависимости от различных требований безопасности:

• ТОЛЬКО ДЛЯ ПОЛЬЗОВАТЕЛЕЙ ДИСКА: Если вы используете компьютер только один, и ваш компьютер может обрабатывать накладные расходы на полное шифрование диска (все современные настольные компьютеры могут делать это без уведомления пользователя, нетбуков и старых ноутбуков не так много), вы можете использовать полное шифрование диска и поставить дом в том же раздел как ваша ОС (/).
• ПОЛНАЯ ДИСКОВАЯ ЭНЕРГИЯ И HOME ECRYPTFS ENCRYPTION . Если вы беспокоитесь о том, что ваши личные данные читаются, пока ваш компьютер или вы делитесь своим компьютером с другими пользователями, тогда вы можете другой раздел из / и использование ecryptfs по полному шифрованию диска (это шифрование / через LUKS)
• ТОЛЬКО ДЛЯ ТОГО, ЧТОБЫ ТОЛЬКО ДЛЯ ЭКСКУРСИИ ДЛЯ ДОМА. . Если вы не слишком беспокоитесь о том, что кто-то нарушает вашу систему во время вашего отсутствия, но вы по-прежнему хотите, чтобы ваши личные данные были безопасными, пропустите полное шифрование диска и просто используйте ecryptfs ( шифрование дома). Дополнительным преимуществом этого сценария является то, что это довольно легко настроить даже после ve установил Ubuntu, просто используя ecryptfs-migrate-home. Также это была настройка Ubuntu по умолчанию, прежде чем она изменила несколько выпусков, добавив возможность полного шифрования диска. Так как большинство современных настольных компьютеров могут обрабатывать полное шифрование диска без пота, и он добавляет тонкий уровень защиты от встраивания кода в автономном режиме, в установщик добавлено полное шифрование диска. Обратите внимание, что для большинства пользователей, просто зашифровавших свой дом с помощью ecryptfs, будет достаточно для их нужд: держать своих друзей и обычных похитителей ноутбуков от их личных данных. Кроме того, если вы были специально нацелены на организацию с правильными средствами, полное шифрование диска или просто домашнее шифрование не будет иметь большого значения, если вы также не установили много других параноидальных поведений (например: сохранение ядра в отдельном ручном накопителе, который всегда находится на вас, постоянно проверяя аппаратное вмешательство / клавиатурные шпионы и т. д.).

  

Если я не включил шифрование диска во время установки, есть ли способ включить его post facto?

Да, и теперь будет проще, если вы в настоящее время используете LVM и имеете достаточно места в своей системе, чтобы скопировать все ваши незашифрованные системные файлы в зашифрованный раздел LUKS. Я не буду вдаваться в подробности в данный момент, потому что не знаю, используете ли вы LVM, и если вы предпочитаете не просто использовать ecrypfs, а пропустить полный шифрование диска до следующей новой установки.     

Ну, вы можете сделать резервное копирование всех важных каталогов и установленного программного обеспечения. Убедитесь, что ваш 13.10 полностью обновлен, чтобы избежать конфликтов версий. Обычно делаются резервные копии:

• /boot
• /etc
• home
• var
• /usr/local
• Программное обеспечение, установленное через Synaptic / Software Center
• Если вы скомпилировали настраиваемое программное обеспечение, возможно, вам придется включить дополнительные резервные копии в резервную копию (например, /bin , /lib , lib64 ).

После этого вы переустановите систему только теперь зашифрованную. Обновите его в полном объеме. Затем переместите резервную копию в зашифрованную систему и установите все программное обеспечение из предыдущей версии.

Просто не забудьте перезаписать файлы, важные для шифрования, при возврате резервной копии (например, /etc/fstab , /etc/cryptab , некоторые связанные с grub вещи и некоторые вещи в /boot не должны заменяться резервным копированием файлы).

Простой ответ: Нет.

Сложный ответ:

Шифрование диска или раздела приведет к стиранию всего содержимого на этом диске или разделе, поэтому для шифрования диска вы также должны удалить содержимое диска. Перед запуском необходимо сделать соответствующие резервные копии данных. Очевидно, это означает, что вы должны переустановить систему, чтобы использовать полное шифрование диска, ничем иным способом. Это связано с тем, что случайные данные будут записываться на весь диск, чтобы усложнить восстановление данных.

Но в настоящее время вам не нужно шифровать ваш корневой раздел. Помните, что если что-то идет по проводам, вы выходите из своей системы без возможности восстановления данных. Вместо этого вы должны зашифровать свою личную информацию.

См. соответствующий вопрос Как зашифровать полный диск после установки?