Chcesz mieć łatwy w użyciu schemat szyfrowania dysku w systemie Linux

Aby chronić dane osobowe na wypadek kradzieży laptopa, szukam najlepszego sposobu szyfrowania systemu Linux.

Wady szyfrowania całego dysku, w tym wymiany:

• Pytanie o hasło przed uruchomieniem jest trochę brzydkie i niepolerowane, wydaje się ukryte wśród komunikatów rozruchowych (czy coś takiego jak Splashy może to obsłużyć?)
• Musisz zalogować się dwa razy (jeśli masz ekran logowania GDM i potrzebujesz wielu użytkowników)

Wady szyfrowania poszczególnych folderów przy użyciu libpam-mount lub podobnego:

• Zaszyfrowany jest tylko folder domowy użytkownika (podczas gdy / etc, / var itp. Mogą również zawierać poufne informacje).
• Plik wymiany nie jest zaszyfrowany, więc może to być wyciek poufnych danych
• Nie ma możliwości bezpiecznego hibernacji.

Używam Debian Linux, jeśli to ma znaczenie. Nie musi być absurdalnie bezpieczny, ale chce mieć pewność, że złodziej nie może ukraść mojej tożsamości, danych konta bankowego, loginów VPN itp., Jeśli zostanie skradziony podczas wyłączania / hibernacji.

Czy znasz sposoby rozwiązania któregokolwiek z powyższych problemów?

Twój problem jest powszechny: głównie trudna równowaga między bezpieczeństwem a użytecznością.

Moja propozycja to zastosowanie nieco zmodyfikowanej wersji podejścia mieszanego:

• za pomocą oprogramowania wieloplatformowego, takiego jak TrueCrypt, przygotuj jeden lub więcej zaszyfrowanych woluminów na swoje dane osobowe, których NIE wykorzystujesz codziennie (dane bankowe, zapisane hasła, dokumentacja medyczna itp.)
• powodem użycia więcej niż jednego woluminu jest to, że możesz chcieć wykonać ich kopię zapasową na innym nośniku lub użyć różnych schematów szyfrowania: na przykład możesz chcieć udostępnić swoją dokumentację medyczną komuś innemu i przekazać jej swoje hasło (które powinno być inny niż ten używany dla innych woluminów)
• użycie „standardowego” oprogramowania międzyplatformowego oznacza, że ​​będziesz w stanie odzyskać dane z innego systemu operacyjnego w locie, jeśli Twój laptop zostanie skradziony / uszkodzony
• szyfrowanie całego dysku jest często uciążliwe i trudne. Chociaż są za to ataki (patrz Atak Zła Pokojówka) , okazuje się przydatny, jeśli boisz się, co może się stać, jeśli ludzie będą mieli dostęp do całego systemu. Na przykład, jeśli używasz laptopa firmowego, nie masz dostęp administracyjny i istnieją klucze VPN, które nie powinny zostać skradzione
• hasła w pamięci podręcznej do poczty / sieci / aplikacji to kolejny problem: być może chcesz zaszyfrować tylko katalog domowy? Aby zoptymalizować wydajność i bezpieczeństwo / użyteczność, możesz:
  • szyfruj wszystkie domowe reż
  • softlink do niezaszyfrowanego katalogu w twoim systemie plików dla danych, których nie obchodzi utrata (muzyka, wideo itp.)

Ponownie nie zapominaj, że wszystko sprowadza się do wartości tego, co musisz stracić, w porównaniu do wartości twojego czasu i kosztów powrotu do zdrowia.

Nie szyfruję całego dysku twardego, to po prostu zbyt wiele rzeczy związanych z administracją / zarządzaniem.

Więc używam dm-encrypt do tworzenia logicznej zaszyfrowanej partycji.

Stworzyłem wokół niego skrypt, którego używam na co dzień, żeby sprawdzić, czy ci to pomoże. Nazywam to pod .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Możesz użyć pend drive do przechowywania kluczy szyfrujących. Dla najlepszego bezpieczeństwa powinien być chroniony hasłem, ale nie musi.

http://loop-aes.sourceforge.net/loop-AES.README spójrz na przykład 7.

Wciąż jestem stosunkowo nowy w Linuksie, ale pomyślałem, że kiedy instalujesz system, możesz włączyć szyfrowanie całego dysku. Ponadto TrueCrypt ma pakiet .deb.

Nie korzystałem jeszcze z szyfrowania dysku w systemie Linux, więc być może te opcje mają problemy, jak opisano powyżej. Jeśli chodzi o logowanie wielu użytkowników, być może TrueCrypt może być skonfigurowany do używania pliku klucza na dysku USB. W ten sposób wszystko czego potrzebujesz to laptop i dysk USB, aby uzyskać dostęp do plików na laptopie.

Nadal uczę się Linuksa, więc mam nadzieję, że to pomoże.

Czym się martwisz? Jakie wektory ataku? Zanim zaczniesz poważnie podchodzić do kwestii bezpieczeństwa, musisz uzyskać odpowiedzi na te dwa pytania.

„Dane osobowe” sugerują, że martwisz się o kradzież tożsamości, przypadkowych szpiegów itp. Coś w rodzaju oprogramowania pęku kluczy wystarcza do ochrony danych logowania do banku, i c, ale jest niepraktyczne w przypadku dużej ilości informacji.

Jeśli masz dużo danych, które chcesz chronić, informacje, do których nie potrzebujesz szybkiego dostępu, i za które jesteś gotów zapłacić niewielką, cykliczną kwotę za darmo, to Amazon S4 jest dobrą opcją, całkowicie eliminując obawy o fizyczne dostęp, dzięki czemu bezpieczeństwo sprowadza się do zarządzania kluczami, które ponownie jest odpowiednio rozwiązywane przez oprogramowanie pęku kluczy. Amazon nie widzi zawartości tego, co przechowujesz w ten sposób, ale tylko zaszyfrowany wynik. Oczywiście oznacza to, że jeśli zepsujesz i zgubisz klucze, Amazon nie może ci pomóc.

W trzecim przypadku, gdy chcesz względnie szybki dostęp do dużej ilości danych, zalecam stosowanie nie szyfrowania całego dysku, ale szyfrowanie całej partycji, zgodnie z sugestią chinmaya. Szyfrowanie poszczególnych katalogów jest uciążliwe i nie polecam: poproś system plików o wykonanie pracy.