どのパーティションが暗号化されますか?

どのパーティションが暗号化されますか?

これで暗号化する時間です。私の設定:

  • /boot[1GB]
  • 左心室容積
    • swap[4GB]
    • /root[30GB]
    • /usr[4GB]
    • /var[4GB]
    • /home[150GB]
    • /tmp& /var/tmp[2GB]

swap最初は&を暗号化したかったのですが、/home他のものも暗号化する方が良いかどうかはわかりません。

(目的はネットワークセキュリティであり、パフォーマンス上の理由ですべてのディスクを暗号化しない、老朽化し​​たノートブック)

さらに、空間分布が最適かどうかは100%確信できません。

(サーバーではなくDebian PCです。)

答え1

LVM を使用する場合の一般的な構成は、すべての論理ボリュームが暗号化されるように物理ボリュームレベルで暗号化を設定することです。

Fedoraで一般的な暗号化LVM設定は次のとおりです。

sda                                             8:0    0 931,5G  0 disk  
├─sda1                                          8:1    0     1G  0 part  /boot
└─sda2                                          8:2    0 930,5G  0 part  
  └─luks-094c2ba3-eb59-48fe-83ab-eca3fe533c03 253:0    0 930,5G  0 crypt 
    ├─fedora-root                             253:1    0    70G  0 lvm   /
    ├─fedora-swap                             253:2    0   7,9G  0 lvm   [SWAP]
    └─fedora-home                             253:3    0 852,6G  0 lvm   /home

LVは3つ(for//homeswap)だけですが、残りはすべて/boot暗号化されています。 PVレベルでの暗号化は、個々のLVを暗号化するよりもはるかに簡単です。

答え2

ファイルシステムレベルでデータを暗号化すると、実行中のシステムのすべてのエントリからユーザーを保護することはできません。システムが起動してファイルシステムがマウントされると、ファイルレベルの権限がない限り、ログインしている人は誰でもデータを使用できます。

特定のファイルシステム(例:/home/mydir)を暗号化して使用する場合にのみマウントし、ログアウト時にマウント解除することはできますが、これは耐え難い面倒です。にアクセスできます。

ディスク暗号化は、実際にはストレージデバイスの物理的盗難にのみ有効です。詐欺師がドライブにアクセスしようとすると、ドライブを復号化するにはキーが必要です。

関連情報