パスワードを入力せずに暗号化されたパーティションを自動的にマウントすることは実際に可能ですか?

パスワードを入力せずに暗号化されたパーティションを自動的にマウントすることは実際に可能ですか?

私はちょうどその喜びを発見しましたencryptsetup

encryptsetup今(「LUKS」)形式のパーティションを自動的にマウントできるかどうか疑問に思います。

私が見つけたこの記事、ボリューム用の2番目のキー(ランダムに生成されたキーファイル)を作成し、/ etc / crypttabを使用する方法について説明します。しかし著者はこうも言いました。

このキーファイルは暗号化されたボリュームのロックを解除できるため、秘密にしておく必要があります。このキーを暗号化されたシステムパーティション/ボリュームに保存して保護することをお勧めします。このキーを暗号化されていない/保護されていない場所に保存すると、暗号化は役に立ちません。

...となります。

Linux(Mint 18.3)を起動するときにパスワードを入力する必要があることを考えると、「いいね、気にしないでください。このキーファイルを/下のどこかに置くと十分安全です」

しかし、これは本当ですか?私のデフォルトのLinuxファイルシステムパーティションは実際にどのような意味で暗号化されていますか?それとも、そのパーティションへのアクセスはパスワードで保護されていますか?後者の場合、正しいディスク診断ツールを持っている人は誰でも/下のすべてのファイルを読むことができるという意味ですか?

それでは、独自のネイティブLinuxパーティションを暗号化することは可能ですか?これはパフォーマンスに大きな影響を与えませんか?

このパズルの答えは何ですか?encryptsetup再起動するたびにパスワード(または「パスワード」)を手動で入力する必要がありますか?そして、プライマリLinuxパーティションの機密データを暗号化されていないままにする必要がありますか?

答え1

キーを/に置いて同時に暗号化することはできません。それは単に動作しません。

はい、ディスクに物理的にアクセスできる人は秘密を検索できます。

はい、暗号化にはパフォーマンスの欠陥があります。オペレーティングシステム全体ではなく、重要なデータを含むパーティションでこれを行うのが賢明です。

システムが長時間稼働している場合、または起動するたびに直接またはリモートでコンソールにいる可能性がある場合は、手動でパスワードを入力する方が良い決定です。リモートプロセスを実行するにはネットワークサービスを事前に開始する必要があるため、プライマリパーティションは暗号化されていないままにしてください。

それ以外の場合、安全性の低いアプローチは、プライマリパーティションまたはフラッシュスティックを介してプライマリオペレーティングシステムにアクセスできる近い場所に秘密を保存することです。

関連情報