私のラップトップは現在WindowsとFedoraを実行していますが、まもなく唯一のオペレーティングシステムとしてArch Linuxをインストールする予定です。現在の設定ではTrueCryptによるフルディスク暗号化を使用していますが、これが私に必要かどうかはわかりません。
/
私の考えでは、との/boot
ような少し簡単なパーティション化スキームを使用しているようです。/home
swap
私は日常的なPCの使用、プログラミング、ローカルネットワークサーバーまたは仮想ネットワークサーバーでのテスト、オーディオ/ビデオの再生、オーディオの編集/録音などのためにラップトップを使用しています。
また、次のArch専用設定を暗号化したいが、ディスク全体をパーティション化するのか、プライマリパーティションのみをパーティション化するのか、別のパーティションにパーティション化するのかを決定することはできません。暗号化システムは、主にデータが紛失/盗難から保護されるようです。
私はdm-cryptとLUKSが最善の選択だと思いますが、わかりません。
何を選択する必要があり、その理由は何ですか?
答え1
ほとんどのシナリオでは、次の3つのオプションのいずれかがうまく機能します。
特に機密ファイルの一部だけを暗号化しようとしています。
使用環境ファイルシステム:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
利点:機密以外のファイルにアクセスするためのオーバーヘッドはありません。暗号化されたファイルの階層全体を他のコンピュータに簡単にコピーできます。 encfを使用するために特別な権限は必要ありません。
欠点:暗号化するファイルの数が多い場合は、暗号化された領域に明示的に配置されたファイルのみを暗号化します。
ホームディレクトリ全体を暗号化しようとしています。
長所と短所。簡単に言えば、ecryptfsはログインパスワードでホームディレクトリを暗号化したい場合に特に効果的です。インストーラにホームディレクトリを暗号化するように指示すると、Ubuntuはこの方法を使用します。 1つの欠点は、SSH経由でアカウントにログインするのが難しいことです。 SSH鍵認証を使用する場合は、公開鍵を暗号化領域の外に配置し、SSHログイン後にパスワードを入力する必要があるためです。
フルディスク暗号化。
使用DMパスワードを除くすべてを暗号化します/boot
。
利点:すべてが暗号化されているため、誤って誤った場所にファイルを置くことを心配する必要はありません。特に、プロセッサにAESハードウェアアクセラレータがある場合、ブロックレベルの暗号化はより良い速度を提供します(AES-NIx86)。
欠点:起動時にパスワードを提供する必要があり、無人起動が不可能です。すべてが暗号化されているため、プロセッサが遅い場合は遅くなる可能性があります。
一般的な注意事項
フルディスク暗号化を行わない場合は、データの一部の一時コピーがホームディレクトリの外にある可能性があることに注意してください。最も明確な例はスワップスペースなので、泥棒がデータを読み取るのを防ぐために暗号化を使用するには、そのデータを暗号化する必要があります(dm-cryptを使用)。スワップスペースは起動するたびに再初期化されるため、任意のキーを使用して無人起動を実行できます(ただし、これにより休止状態ができなくなります)。
tmpfsの下に入れてください/tmp
(とにかく良いアイデアです)。バラより/tmpを別のボリュームに(安全に)移動するには?/tmp
tmpfsに移行する方法を学びます。
危険にさらされる他の領域は、メール配信(/var/mail
)と印刷スプーラ(/var/spool/cups
)です。
答え2
LuksはLinuxカーネルと統合され、すぐに動作するため、必ず使用してください。他のソリューションを使用することは価値がありません。特に、一部のソリューションはこれをサポートしていないためですAES-NI
。
暗号化されたコンテンツの説明については、次を参照してください。/を暗号化する理由はありますか?しかし、編集証のレベルとセキュリティ要件に応じて、暗号化だけで/home
十分です。