이제 암호화할 시간입니다. 내 설정:
/boot[1GB]- 좌심실 용적
swap[4GB]/root[30GB]/usr[4GB]/var[4GB]/home[150GB]/tmp&/var/tmp[2GB]
swap처음에는 &를 암호화하고 싶었지만 /home다른 것들도 암호화하는 것이 더 나은지 확실하지 않습니다.
(목적은 네트워크 보안이며, 성능상의 이유로 모든 디스크를 암호화하지 않음, 노후된 노트북)
또한 공간 분포가 최적인지 여부도 100% 확신할 수 없습니다.
(서버가 아닌 데비안 PC입니다.)
답변1
LVM을 사용하는 경우 일반적인 구성은 모든 논리 볼륨이 암호화되도록 물리 볼륨 수준에서 암호화를 설정하는 것입니다.
Fedora에서 일반적인 암호화된 LVM 설정은 다음과 같습니다.
sda 8:0 0 931,5G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 930,5G 0 part
└─luks-094c2ba3-eb59-48fe-83ab-eca3fe533c03 253:0 0 930,5G 0 crypt
├─fedora-root 253:1 0 70G 0 lvm /
├─fedora-swap 253:2 0 7,9G 0 lvm [SWAP]
└─fedora-home 253:3 0 852,6G 0 lvm /home
LV는 3개(for /및 /homeswap)뿐이지만 나머지는 모두 /boot암호화되어 있습니다. PV 수준에서 암호화하는 것은 개별 LV를 암호화하는 것보다 훨씬 쉽습니다.
답변2
파일 시스템 수준에서 데이터를 암호화하면 실행 중인 시스템의 모든 항목으로부터 사용자를 보호할 수 없습니다. 시스템이 부팅되고 파일 시스템이 마운트되면 파일 수준 권한이 없는 한 로그인한 모든 사람이 데이터를 사용할 수 있으며 어떤 경우에도 루트 권한을 깨면 문제가 해결됩니다.
특정 파일 시스템(예: /home/mydir)을 암호화하고 사용할 때만 마운트하고 로그아웃 시 마운트 해제할 수 있지만 이는 참을 수 없는 번거로움이며... 누군가 침입한 경우 귀하가 로그인되어 있는 동안에도 이러한 파일 시스템에 액세스할 수 있습니다.
디스크 암호화는 실제로 저장 장치의 물리적 도난에만 유용합니다. 사기꾼이 드라이브에 액세스하려고 하면 드라이브를 해독하려면 키가 필요합니다.