비밀번호를 입력하지 않고 암호화된 파티션을 자동으로 마운트하는 것이 실제로 가능합니까?

비밀번호를 입력하지 않고 암호화된 파티션을 자동으로 마운트하는 것이 실제로 가능합니까?

나는 방금 그것의 기쁨을 발견했습니다 encryptsetup.

encryptsetup이제 ("LUKS") 형식의 파티션을 자동으로 마운트할 수 있는지 궁금합니다.

내가 찾은이 기사, 볼륨에 대한 두 번째 키(임의로 생성된 키 파일)를 만든 다음 /etc/crypttab을 사용하는 방법에 대해 설명합니다. 하지만 저자는 이렇게도 말했습니다.

이 키 파일은 암호화된 볼륨의 잠금을 해제할 수 있으므로 비밀로 유지되어야 합니다. 이 키를 암호화된 시스템 파티션/볼륨에 저장하여 보호하는 것이 좋습니다. 이 키를 암호화되지 않은/보호되지 않은 위치에 저장하면 암호화가 쓸모 없게 됩니다.

...말이 됩니다.

Linux(Mint 18.3)를 부팅할 때 비밀번호를 입력해야 한다는 점을 고려하면 "좋아, 신경 쓰지 마세요. 이 키 파일을 / 아래 어딘가에 넣으면 충분히 안전할 것입니다."라고 생각합니다.

하지만 이것이 사실입니까? 내 기본 Linux 파일 시스템 파티션은 실제로 어떤 의미에서든 암호화되어 있습니까? 아니면 해당 파티션에 대한 액세스가 비밀번호로 보호되어 있습니까? 후자의 경우 올바른 디스크 진단 도구를 가진 사람은 누구나 / 아래의 모든 파일을 읽을 수 있다는 의미입니까?

그렇다면 자신의 기본 Linux 파티션을 암호화하는 것이 가능합니까? 이것이 성능에 큰 영향을 미치지 않습니까?

이 퍼즐의 답은 무엇입니까? encryptsetup재부팅할 때마다 비밀번호(또는 "비밀번호")를 수동으로 입력해야 합니까? 그리고 기본 Linux 파티션의 기밀 데이터를 암호화되지 않은 상태로 유지해야 합니까?

답변1

키를 /에 두고 동시에 암호화할 수는 없습니다. 그것은 단순히 작동하지 않습니다.

예, 디스크에 물리적으로 액세스할 수 있는 사람이 비밀을 검색할 수 있습니다.

예, 암호화에는 성능 결함이 있습니다. 전체 운영 체제보다는 중요한 데이터가 포함된 파티션에서 이 작업을 수행하는 것이 현명합니다.

오랫동안 시스템을 작동 상태로 유지할 수 있거나 부팅할 때마다 직접 또는 원격으로 콘솔에 있을 수 있다면 수동으로 암호를 입력하는 것이 더 나은 결정입니다. 원격 프로세스를 수행하려면 네트워크 서비스를 미리 시작해야 하므로 기본 파티션은 암호화되지 않은 상태로 유지되어야 합니다.

그렇지 않은 경우 덜 안전한 접근 방식은 비밀을 기본 파티션이나 플래시 스틱을 통해 기본 운영 체제에 접근할 수 있는 가까운 곳에 보관하는 것입니다.

관련 정보