ホームフォルダを完全に非表示にします。 ecryptfsは正しい選択ですか?

ホームフォルダを完全に非表示にします。 ecryptfsは正しい選択ですか?

私のDebian テスト- システム、ホームフォルダを完全に隠したいです。これは、データを暗号化するだけでなく、暗号化されたデータから検証されないようにすべての(またはほとんどの)情報を除外したいという意味です。

たとえば、ファイル名も暗号化する必要があります。ただし、データ保護の専門家として、プライバシーのために他のファイル/フォルダ属性も暗号化する必要があるかもしれません。

私は考えた暗号化されたファイルシステムこれを達成するために(パッケージecryptfs-utils)

しかし、これは私のニーズに合った選択ですか?

また、Debianで暗号化されたホームフォルダを実装するためのステップバイステップの指示へのリンクも本当に感謝します!

[編集] 新しくインストールしたため、以前に暗号化されていないホームフォルダを移行する必要はありませんでした。

答え1

Ecryptfsは暗号化された各ファイルをファイルに保存します(下のファイルの場所)暗号化されたファイルシステム用語)。ファイル名は暗号化されていますが、サブファイルのディレクトリ構造はペイロードファイルのディレクトリ構造と同じです。下位レベルのファイルのメタデータ(特に変更時間)は、ペイロードファイルのメタデータも表示します。サブファイルのサイズはペイロードのサイズよりわずかに大きいです(Ecryptfsメタデータのオーバーヘッドは固定されています)1。

自分のタスクを保存していて、攻撃者がすでにどのような種類のデータを持っているかをおおよそ知っている場合(「私はこれがソースツリーであることを既に知っており、これがスプレッドシートであることを知っています。知りたいです!」)質問。ただし、レイアウト(ディレクトリ構造、おおよそのサイズ、日付)で識別できるディレクトリツリーを保存する場合、Ecryptfsは適切なツールではありません。

ブロックデバイスレベルで暗号化を使用します。 Linuxはこれを提供しますDMパスワード。ディスク全体(ブートローダの小さな領域を除く)を暗号化したり、/home他のパーティションを暗号化したりできます。ディスク全体を暗号化しないと、機密情報が他の場所、特にスワップ領域にある可能性があることに注意してください。暗号化されたデータがどこにある場合でも、スワップスペースを暗号化する必要があります。フルディスク暗号化を選択すると、コンピュータが自動的に起動できなくなり、キーボードでパスワードを入力する必要があります。

ブロックデバイス全体が暗号化されるため、ディスクを盗む攻撃者はファイルの内容とメタデータの場所を検出できません。暗号化された領域の先頭にあるヘッダーを除いて、コンテンツは任意のノイズと区別できません。攻撃者は暗号化されたデータの複数のスナップショットを見て、時間が経つにつれて個々のセクタがどのように進化するかを調べることによっていくつかの情報を得ることができますが、それでも興味深いものを見つけるのは難しく、後でデータの変更を中止した場合は適用されません。暗号文を見た場合(盗難にあったディスクの場合)

多くのディストリビューションでは、インストール中にdmcryptボリュームを作成したり、ディスク全体を暗号化したりする可能性があります。 「デスクトップ」または「基本」イメージの代わりに「詳細」または「サーバー」インストールイメージを選択する必要があるかもしれません。

dm-crypt ボリュームを操作するツールは次のとおりです。cryptsetup。 dmcryptボリュームを作成するには、/dev/sdz9パーティションを作成してから実行するcryptsetup luksFormat /dev/sdz9必要があります。/etc/crypttab;cryptsetup luksOpenライブボリュームアクティベーションの場合、またはcryptmount -a設定が完了した後/etc/crypttab。 Dm-cryptは暗号化レイヤーなので、暗号化されたボリュームにファイルシステムを作成する必要があります。

Ubuntuと共にインストールされた実行LUKSインストーラにBacktrack 5 r2をインストールします。dm-cryptを完全に手動で設定する方法のチュートリアルがあります。

1実験的に、デフォルト設定では、小さいファイルサイズはペイロードファイルサイズであり、4kBの倍数に8kBオーバーヘッドを加えた値に丸められます。

答え2

チュートリアルでは、検索エンジンが機能しているようです。Howtoforge.com合理的なヒントを与えるようです。

一般的に考え直すこともできます。正確には何ですか?あなたが最終的に達成しようとしていること。 eCryptfsはある程度機密性を保証しますが、次の点に注意してください。

  • 他のユーザーからホームディレクトリの内容を非表示にするだけでchmod go=- $HOME十分です。本当に必要な場合は、次のようにすることができますchmod go-rw $HOME入力する目次。 AFAIU eCryptfs はアクセス制御のために基本的なファイルシステムに依存しているため、この点に関して多くの作業は行われません。

  • ルート(必ずしもルートである必要はありません)は、通常、ほとんどのシステムでほぼすべての操作を実行できるため、暗号化していても、悪意のある管理者や攻撃者からユーザーを保護することはできません。

盗難防止保護が必要な場合は、暗号化されたパーティション/ドライブの一般的なファイルシステムがより良いソリューションになる可能性があります。設定が簡単で、ファイルシステム全体のパスワードは1つだけで、完全に透明です。それにもかかわらず、交換を暗号化する必要があります(通常のテキストパスワード/証明書が暗号化される可能性がある場所です)。また、休止状態データ(ディスクの一時停止を使用する場合)は、機密データが表示される別の場所であるため、暗号化する必要があります。しかし、これは少しトリッキーかもしれません。

関連情報