次のシステム暗号化の例の構成が見つかりました。
例5:編集証拠のシステム暗号化
• whole hard drive encrypted with dm-crypt+LUKS └──> unlocked before boot, using dedicated passphrase + USB stick with keyfile (different one issued to each user - independently revocable) • /boot partition located on aforementioned USB stick
それでも詳細は見つかりませんでした。
これは、あるユーザーがログインするとデータが暗号化されるため、ログインしていない他のユーザーのデータを読み取ることができないかのように、各ユーザーパーティションに独自のパスワードを持つシステム全体の暗号化が可能であることを意味しますか? (他の暗号化されたデフォルトパーティションを使用する場合と似ていますecryptfs
。)
だから誰でも詳細を提供できますか?実際にどのように機能し、Ubuntuシステムで設定するには?
答え1
ユーザー固有の暗号化が必要な場合は、Ubuntuがすでにソリューションを提供していると思います。dm-crypt/luks
Buttなどの方法を使用せずに、ecryptfs
通常のファイルシステムの上に暗号化階層を使用して、各ユーザーのホームディレクトリを個別に暗号化します。
の場合、dm-crypt/luks
同じ目的を達成するには、ユーザーごとに別々のパーティションまたは論理ボリュームを作成する必要があります。
もう1つの可能性は、同じコンテナに対する複数のキーに対するLUKSのサポートを意味することです。ただし、これは8つのキーホームに制限されているため、ユーザーが多い限り、それほど実用的ではありません。
チェーンシステムを設定することもできます。つまり、ユーザーにマスターキーのロックを解除するキーを提供すると、マスターキーがコンテナのロックを解除することもできます。しかし、ユーザー管理には適していないと思います。 USBスティックの盗難/紛失==キーの損失を防ぐために便利です。