これで暗号化する時間です。私の設定:
/boot
[1GB]- 左心室容積
swap
[4GB]/root
[30GB]/usr
[4GB]/var
[4GB]/home
[150GB]/tmp
&/var/tmp
[2GB]
swap
最初は&を暗号化したかったのですが、/home
他のものも暗号化する方が良いかどうかはわかりません。
(目的はネットワークセキュリティであり、パフォーマンス上の理由ですべてのディスクを暗号化しない、老朽化したノートブック)
さらに、空間分布が最適かどうかは100%確信できません。
(サーバーではなくDebian PCです。)
答え1
LVM を使用する場合の一般的な構成は、すべての論理ボリュームが暗号化されるように物理ボリュームレベルで暗号化を設定することです。
Fedoraで一般的な暗号化LVM設定は次のとおりです。
sda 8:0 0 931,5G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 930,5G 0 part
└─luks-094c2ba3-eb59-48fe-83ab-eca3fe533c03 253:0 0 930,5G 0 crypt
├─fedora-root 253:1 0 70G 0 lvm /
├─fedora-swap 253:2 0 7,9G 0 lvm [SWAP]
└─fedora-home 253:3 0 852,6G 0 lvm /home
LVは3つ(for/
と/home
swap)だけですが、残りはすべて/boot
暗号化されています。 PVレベルでの暗号化は、個々のLVを暗号化するよりもはるかに簡単です。
答え2
ファイルシステムレベルでデータを暗号化すると、実行中のシステムのすべてのエントリからユーザーを保護することはできません。システムが起動してファイルシステムがマウントされると、ファイルレベルの権限がない限り、ログインしている人は誰でもデータを使用できます。
特定のファイルシステム(例:/home/mydir)を暗号化して使用する場合にのみマウントし、ログアウト時にマウント解除することはできますが、これは耐え難い面倒です。にアクセスできます。
ディスク暗号化は、実際にはストレージデバイスの物理的盗難にのみ有効です。詐欺師がドライブにアクセスしようとすると、ドライブを復号化するにはキーが必要です。