![/home뿐만 아니라 시스템 파티션을 암호화하려는 이유는 무엇입니까? [폐쇄]](https://linux55.com/image/127249/%2Fhome%EB%BF%90%EB%A7%8C%20%EC%95%84%EB%8B%88%EB%9D%BC%20%EC%8B%9C%EC%8A%A4%ED%85%9C%20%ED%8C%8C%ED%8B%B0%EC%85%98%EC%9D%84%20%EC%95%94%ED%98%B8%ED%99%94%ED%95%98%EB%A0%A4%EB%8A%94%20%EC%9D%B4%EC%9C%A0%EB%8A%94%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F%20%5B%ED%8F%90%EC%87%84%5D.png)
나는 현재 새 데스크톱 컴퓨터에 Debian 배포판을 설치하고 있으며 파티션 테이블을 만드는 두 가지 방법의 장단점 매개 변수(성능 및 보안 측면에서)를 찾고 있습니다. 내 새 컴퓨터에는 16GB RAM과 500GB SSD(사양에 충분함)가 있습니다.
먼저 작업 파일을 암호화하는 전제 조건이 있습니다. 그래서 나의 첫 번째 선택은 다음과 같습니다.
#1 800 MB EFI
#2 300 MB ext4 /boot
#3 ..all.. crypto (sda3_crypt)
LVM Encrypted (sda3_crypt)
#1 10 GB swap
#2 80 GB ext4 /
#3 ...all.. ext4 /home
swap암호화된 데이터를 사용할 때 누출되는 일이 없도록 암호화해야 합니다 . 실제로 이는 데비안 설치 프로그램에 의해 시행됩니다.
하지만 그렇다면 시스템 자체는 아마도 암호화되지 않았을 것이라고 가정합니다. (저는 책상에서도 암호화가 모든 곳에서 사용되는 것이 그리 편하지 않습니다.) 결국 재미 일뿐입니다 /home.
따라서 또 다른 옵션(현재 제가 가장 좋아하는 옵션)은 시스템을 암호화되지 않은 상태로 두는 것입니다(단지 /home). 이로 인해 보안 문제가 추가될 수 있다고 생각하지만 아직 아무런 문제도 발견하지 못했고 효율성이 높아질 것이라고 생각합니다. 두 번째 방법은 다음과 같습니다.
#1 800 MB EFI
#2 80 GB ext4 /
#3 ..all.. crypto (sda3_crypt)
LVM Encrypted (sda3_crypt)
#1 10 GB swap
#2 ...all.. ext4 /home
그렇다면 보안 측면에서 뭔가를 놓치고 있는 걸까요? 상대 모델은 "사악한 하녀' 기계가 켜져 있는 동안 기계에 물리적으로 접근하여 이를 훔칠 수도 있습니다.
두 번째 접근 방식을 고려하면 어떤 보안 취약점에 직면하게 됩니까?
마지막으로 RAM에 마운트 채널이 설정되어 있는지 확인하겠습니다 /tmp. tmpfs시스템의 암호화되지 않은 부분에 대한 중요한 쓰기를 방지합니다.
답변1
첫 번째 방법은 /boot를 제외한 모든 것을 암호화하는 것으로 보입니다. 두 번째 방법은 스왑 및 홈페이지만 암호화합니다.
모든 것을 암호화하는 것이 좋습니다. 나는 데비안이 이제 암호화된 /boot(grub에서 비밀번호를 묻는 메시지)도 처리할 수 있다고 믿습니다.
모든 것을 암호화하면 다음과 같은 몇 가지 큰 이점이 있습니다.
안전.데이터는 실수로 외부 세계로 쉽게 유출될 수 있습니다 /home. 당신 /tmp도 그것을 생각했습니다 /var/tmp. 그리고 어떤 프로그램을 사용하느냐에 따라 각각의 위치가 있습니다 /var. 예를 들어 일부 데이터를 MySQL에 넣으면 그게 다입니다 /var/lib/mysql. Postal /var/mail과 /var/spool/exim? 아니면 인쇄 스풀링 /var/spool/cups(CUPS를 사용하는 경우, 다른 곳에서는 다른 인쇄 시스템을 사용하는 경우)? 또는 /var/log민감한 데이터를 쉽게 포함할 수도 있습니다. 모든 것을 암호화하면 이런 일이 발생하지 않습니다.
유연성./분할 하면 할당할 공간의 양을 선택해야 합니다 /home. 이 실수를 하면 변경하기가 어려워집니다. LVM 내의 모든 것과 마찬가지로 변경하기가 훨씬 쉽습니다(그리고 하나의 파일 시스템을 사용하면 분할을 결정할 필요조차 없습니다).
결점.암호화 시스템은 조금 느려지겠지만, 지난 10년 동안 만들어진 PC에서는 눈에 띄지 않을 것 같습니다.
참고: 사악한 가정부 공격을 대비하려면 자리를 비울 때 컴퓨터가 항상 잠겨 있는지 확인하고 부팅 순서(예: 펌웨어/BIOS 비밀번호 및 그럽 비밀번호)를 잠그는 조치를 취하고 여기에서 물리적 변조 표시기를 켜야 합니다. 어떤 경우에는 하드웨어 키로거 추가(또는 키보드 교체) 등을 방해하는 경우가 있습니다. 예방하기 어려운 상황입니다.