デフォルトでは、Linux(Debian)パーティションを暗号化せずにインストールしました。
しかし、私は方法を見つけました少なくともホームフォルダを暗号化すると、理論的にコンピュータが盗まれた場合にアクセスできないようにしたいすべてのアイテムをホームフォルダに配置できます。
ただし、一部のフォルダ(/etc、/bin、/var、..)は暗号化のためにデフォルトフォルダに移動できません。私のユーザー(!= "root")を考えると、rootアクセス権があります(しかし各su(do)のパスワードを入力した後)、次へのアクセスを制限することを検討しています。鋭いファイル/フォルダのアプローチは、システムの残りの部分が破損しないようにKDEにログインし、メインユーザー(su(do)なし)のみがファイル/フォルダにアクセスできるようにすることです。
可能ですか?(たぶんchmodなど)
ああ、よくわかりません。「基本的に」アプリケーションデータやその他の機密情報を含める必要があるフォルダ?
答え1
権限は、システムの他のユーザーが一般的なソフトウェア手段を介してシステムにアクセスするのを防ぐだけです。ハードウェアにアクセスする人にはまったく役に立たず、暗号化だけがこれを防ぐことができます。権限設定は、封筒に「秘密」を書くのと同じです。これは、オペレーティングシステムがエンベロープを操作する唯一のエンティティである場合は機能しますが、攻撃者がエンベロープを盗む場合は機能しません。
機密文書を保存できる主な場所は次のとおりです。
- 交流地域
/tmp(RAMにない場合)/var/tmp(しかしそこには書かれたプログラムはほとんどありません)。- 電子メールとプリンタ(およびその他)スプールが配置されています
/var/spool。 /etcWi-Fiパスワードなどの一部の情報を含めることができます。
すべての機密ファイルを保護するのは難しいです/var。すべてのファイルを暗号化する必要があります。さらに、システムファイルをecryptfsに入れる簡単な方法(または少し高度な方法)もありません。 ecryptfsはデフォルトで暗号化に向けられています。シングルユーザーのファイル。数学的には不可能ではありませんが、問題が発生した場合に何をすべきかわからない限り、試してはいけません。私私はそうしないで、システム全体を暗号化します。
インストール後にシステムを暗号化できますが、簡単ではありません。基本的なアイデアは、リカバリメディアから起動し、既存のパーティションをディスク全体よりも小さく縮小し、それをディスクの端に移動し、空のディスクの先頭に暗号化されたコンテナを作成することです。ここにLVMボリュームを作成し、ファイルシステムを作成し、ファイルをプレーンテキスト領域に移動し、プレーンテキストボリュームをより小さいサイズ(〜200 MB)に調整し、プレーンテキストボリュームに移動し、暗号化されたコンテナ/bootとLVMボリューム全体のディスク、いくつかのスワップ領域を再利用し、ファイルシステムを拡張し、プレーンテキストボリュームFileをマウントし、/bootGrubを再インストールし、initramfsを再生成します。 (何も忘れなかったらいいのに…)
家の外の機密ファイルが気になる場合は、再インストールする方が簡単かもしれません。
/homeより簡単なトレードオフは、ホームディレクトリをディレクトリツリーに暗号化するのではなく、暗号化されたボリュームを作成することです。 (これによりパフォーマンスが若干向上する可能性があります。)基本的なアイデアは次のとおりです。
- 回復メディアから起動します。
- 既存のファイルシステムを縮小し、パーティション(
ext2resize、parted)を含めます。 - 空き領域(
cryptsetup)にdmcryptボリュームを作成します。 - dmcryptボリュームに2つのLVMボリューム(、、、
pvcreate× 2)を作成します。 1つはスワップ()用、もう1つは()用です。vgcreatelvcreatemkswap/homemkfs - ボリュームをマウントし
/homeてそこに移動します/home。 - 更新
/etc/fstabして/etc/crypttab。 - これで、他の機密ディレクトリ(プリンタスプールなど)を移動して
/home追跡するためのシンボリックリンクを作成できます。 - 削除したばかりの機密ファイルを保護するには、プレーンテキストボリュームの空き領域を消去する。