나는 방금 그것의 기쁨을 발견했습니다 encryptsetup
.
encryptsetup
이제 ("LUKS") 형식의 파티션을 자동으로 마운트할 수 있는지 궁금합니다.
내가 찾은이 기사, 볼륨에 대한 두 번째 키(임의로 생성된 키 파일)를 만든 다음 /etc/crypttab을 사용하는 방법에 대해 설명합니다. 하지만 저자는 이렇게도 말했습니다.
이 키 파일은 암호화된 볼륨의 잠금을 해제할 수 있으므로 비밀로 유지되어야 합니다. 이 키를 암호화된 시스템 파티션/볼륨에 저장하여 보호하는 것이 좋습니다. 이 키를 암호화되지 않은/보호되지 않은 위치에 저장하면 암호화가 쓸모 없게 됩니다.
...말이 됩니다.
Linux(Mint 18.3)를 부팅할 때 비밀번호를 입력해야 한다는 점을 고려하면 "좋아, 신경 쓰지 마세요. 이 키 파일을 / 아래 어딘가에 넣으면 충분히 안전할 것입니다."라고 생각합니다.
하지만 이것이 사실입니까? 내 기본 Linux 파일 시스템 파티션은 실제로 어떤 의미에서든 암호화되어 있습니까? 아니면 해당 파티션에 대한 액세스가 비밀번호로 보호되어 있습니까? 후자의 경우 올바른 디스크 진단 도구를 가진 사람은 누구나 / 아래의 모든 파일을 읽을 수 있다는 의미입니까?
그렇다면 자신의 기본 Linux 파티션을 암호화하는 것이 가능합니까? 이것이 성능에 큰 영향을 미치지 않습니까?
이 퍼즐의 답은 무엇입니까? encryptsetup
재부팅할 때마다 비밀번호(또는 "비밀번호")를 수동으로 입력해야 합니까? 그리고 기본 Linux 파티션의 기밀 데이터를 암호화되지 않은 상태로 유지해야 합니까?
답변1
키를 /에 두고 동시에 암호화할 수는 없습니다. 그것은 단순히 작동하지 않습니다.
예, 디스크에 물리적으로 액세스할 수 있는 사람이 비밀을 검색할 수 있습니다.
예, 암호화에는 성능 결함이 있습니다. 전체 운영 체제보다는 중요한 데이터가 포함된 파티션에서 이 작업을 수행하는 것이 현명합니다.
오랫동안 시스템을 작동 상태로 유지할 수 있거나 부팅할 때마다 직접 또는 원격으로 콘솔에 있을 수 있다면 수동으로 암호를 입력하는 것이 더 나은 결정입니다. 원격 프로세스를 수행하려면 네트워크 서비스를 미리 시작해야 하므로 기본 파티션은 암호화되지 않은 상태로 유지되어야 합니다.
그렇지 않은 경우 덜 안전한 접근 방식은 비밀을 기본 파티션이나 플래시 스틱을 통해 기본 운영 체제에 접근할 수 있는 가까운 곳에 보관하는 것입니다.