내 노트북은 현재 Windows와 Fedora를 실행하고 있지만 곧 유일한 운영 체제로 Arch Linux를 설치할 계획입니다. 현재 설정에서는 TrueCrypt를 통한 전체 디스크 암호화를 사용하지만 이것이 나에게 필요한지 잘 모르겠습니다.
/내 생각에는 , /boot및 과 같은 약간 간단한 파티셔닝 구성표를 사용할 것 같습니다 ./homeswap
나는 일상적인 PC 사용, 프로그래밍, 로컬 네트워크 서버 또는 가상 네트워크 서버에서의 테스트, 오디오/비디오 재생, 오디오 편집/녹음 등을 위해 노트북을 사용합니다.
또한 다음 Arch 전용 설정을 암호화하고 싶지만 전체 디스크를 파티션할지, 기본 파티션만 파티션할지, 아니면 다른 파티션으로 파티션할지 결정할 수 없습니다. 암호화 시스템은 주로 데이터가 손실/도난되지 않도록 보호하는 것 같습니다.
나는 dm-crypt와 LUKS가 최선의 선택이라고 생각하지만 확실하지 않습니다.
무엇을 선택해야 하며 그 이유는 무엇입니까?
답변1
대부분의 시나리오에서는 다음 세 가지 옵션 중 하나가 잘 작동합니다.
특히 기밀 파일 중 일부만 암호화하려고 합니다.
사용환경 파일 시스템:
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
장점: 기밀이 아닌 파일에 액세스하는 데 오버헤드가 없습니다. 암호화된 파일의 전체 계층을 다른 컴퓨터에 쉽게 복사할 수 있습니다. encf를 사용하려면 특별한 권한이 필요하지 않습니다.
단점: 암호화할 파일 수가 많은 경우 암호화된 영역에 명시적으로 배치된 파일만 암호화합니다.
전체 홈 디렉터리를 암호화하려고 합니다.
사용암호화된 파일 시스템.
장점과 단점. 간단히 말해서, ecryptfs는 로그인 비밀번호로 홈 디렉토리를 암호화하려는 경우 특히 효과적입니다. 설치 프로그램에 홈 디렉토리를 암호화하도록 지시하면 Ubuntu는 이 방법을 사용합니다. 한 가지 단점은 SSH를 통해 계정에 로그인하기가 더 어렵다는 점입니다. SSH 키 인증을 사용하는 경우 공개 키가 암호화 영역 외부에 배치되어야 하고 SSH 로그인 후 비밀번호를 입력해야 하기 때문입니다.
전체 디스크 암호화.
사용DM 비밀번호를 제외한 모든 것을 암호화합니다 /boot.
장점: 모든 것이 암호화되므로 실수로 잘못된 위치에 파일을 넣는 것에 대해 걱정할 필요가 없습니다. 특히 프로세서에 AES 하드웨어 가속기가 있는 경우 블록 수준 암호화가 더 나은 속도를 제공합니다(AES-NIx86).
단점: 시작 시 비밀번호를 제공해야 하며, 무인 시작이 불가능합니다. 모든 것이 암호화되므로 프로세서가 느린 경우 속도가 느려질 수 있습니다.
일반적인 주의사항
전체 디스크 암호화를 수행하지 않으면 데이터의 일부 임시 복사본이 홈 디렉터리 외부에 있을 수 있다는 점을 명심하세요. 가장 확실한 예는 스왑 공간이므로 도둑이 데이터를 읽는 것을 방지하기 위해 암호화를 사용하려면 해당 데이터를 암호화해야 합니다(dm-crypt 사용). 스왑 공간은 부팅할 때마다 다시 초기화되므로 임의의 키를 사용하여 무인 부팅을 수행할 수 있습니다(그러나 이렇게 하면 최대 절전 모드가 불가능해집니다).
tmpfs 아래에 넣으십시오 /tmp(어쨌든 좋은 생각입니다). 바라보다/tmp를 다른 볼륨으로 (안전하게) 이동하는 방법은 무엇입니까?/tmptmpfs로 마이그레이션하는 방법을 알아보세요 .
위험에 노출된 다른 영역은 메일 배달( /var/mail) 및 인쇄 스풀러( /var/spool/cups)입니다.
답변2
Luks는 Linux 커널과 통합되어 있고 즉시 작동하므로 반드시 사용해야 합니다. 다른 솔루션을 사용하는 것은 가치가 없습니다. 특히 일부 솔루션은 이를 지원하지 않기 때문입니다 AES-NI.
암호화된 콘텐츠에 대한 설명은 다음을 참조하세요./를 암호화할 이유가 있나요?그러나 편집증 수준과 보안 요구 사항에 따라 암호화만으로도 /home충분할 수 있습니다.