私はLinuxの熱心なファンであり、時々新しいディストリビューションを試してみるのが好きです。私は通常、暗号化されたパーティションの上にあるlvmにホームフォルダとルートディレクトリを置きますが、各initramfs生成プロセスは以前のプロセスよりももはや多いため、これは面倒です。
私はプライバシーを大切にしていますが、私の大切な情報や個人情報のほとんどは私のホームフォルダに保存されています。また、パーティショニングにGPTを使用しているため、lvmの外でも複数のパーティションを設定することは難しくありません。
それで、質問は:ルート暗号化と "/"のlvm-ingがそれほど価値があるかどうか、特に私が処理しなければならないすべての初期ユーザースペースの面倒を解決することですか?
答え1
まず、暗号化されたルートと初期ユーザースペースの面倒は通常ディストリビューションで処理されます(私の知る限り、Fedora、Debian、Ubuntu、およびOpenSUSEはデフォルトで暗号化されたルートをサポートしています)。つまり、設定自体について心配する必要はありません。
暗号化する理由の1つ/情報をまったく提供しないようにするためです。一時データを書き込むプログラムを考えてみましょう。/tmp、機密情報(ユーザー名/パスワードなど)を含むログファイル/var/ログまたは、資格情報(パスワードなど)を含む構成ファイル/etc/fstabまたは、rootユーザーのシェル記録にあるいくつかのコマンドです。
パーティションの代わりにLVMを使用すると大きな利点があります。ディスク自体を再パーティション化することなく、論理ボリュームのサイズ変更/名前変更/削除を簡単に行うことができ、パーティション(GPTまたはMBR)を使用するよりも便利です。
答え2
/etc、、/varそして/tmp思います。すべてのコンテンツに機密コンテンツを含めることができます。すべてのボリュームは別々のボリュームとして指定できますが、通常、各ボリュームはルートディレクトリと同じファイルシステムにあります。たぶん1つ以上を独自のボリュームに移動しましたが、すべて移動しましたか?
/etc含む:/etc/shadowハッシュされたパスワードは、次のようなさまざまなタイプにすることができます。/etc/samba/smbpasswdさまざまな秘密鍵:SSL、SSH、Kerberos ...
/var含む:/var/log、その多くは機密データを含めることができるため、ルートから読み取り専用です。たとえば、/var/log/httpd/access_logWebサイトユーザーの暗号化されていないアイテムであるGETデータが含まれる可能性があるため、重要です。データベースファイル、
/var/lib/mysql例えばMySQLは通常、テーブルとインデックスファイルを次の場所に保存します。
/tmp機密ではないように聞こえる可能性のある一時ファイルが含まれていますが、競合状態、プロセスが一時ファイルを使用しようとしている間に一時ファイルを修正または狙撃する機能に関連するUnixソフトウェアへの攻撃がたくさんあります。多くの場合、ファイルの内容が短期間だけ敏感であることがわかります(たとえば、再起動を介していません)。ただし、一部のプログラムは方法によって異なります。粘り強いビットそしてエムステム(3)長寿命の機密データも一時的にキャッシュできます。
答え3
もう一つの理由は、ファイルシステムの改ざんを防ぐためです。暗号化されると、ファイルシステムにルートキットを配置するなど(Live CDを起動したり、一時的にHDDを別のシステムに移動したりするなど)、次回の起動時にユーザーを嫌がらせすることがより複雑になります。カーネル(およびinitrd)はまだ脆弱ですが、次のいずれかの方法で軽減できます。セキュアブート(正しく署名されたブートチェーンを使用)または安全リムーバブルデバイス(たとえば、常に制御するフラッシュドライブまたはメモリカード)