홈 폴더를 완전히 숨기세요. ecryptfs가 올바른 선택인가요?

Question 1

Ecryptfs는 암호화된 각 파일을 파일에 저장합니다(아래 파일 위치)암호화된 파일 시스템 용어). 파일 이름은 암호화되어 있지만 하위 파일의 디렉터리 구조는 페이로드 파일의 디렉터리 구조와 동일합니다. 하위 수준 파일의 메타데이터(특히 수정 시간)는 페이로드 파일의 메타데이터도 표시합니다. 하위 파일의 크기는 페이로드의 크기보다 약간 큽니다(Ecryptfs 메타데이터 오버헤드는 고정됨)1.

자신의 작업을 저장하고 있고 공격자가 이미 어떤 유형의 데이터를 가지고 있는지 대략적으로 알고 있는 경우("나는 이것이 소스 트리라는 것을 이미 알고 있으며 이것이 스프레드시트라는 것을 알고 있습니다. 알고 싶습니다!") 질문. 그러나 레이아웃(디렉터리 구조, 대략적인 크기, 날짜)으로 식별할 수 있는 디렉터리 트리를 저장하는 경우 Ecryptfs는 적합한 도구가 아닙니다.

블록 장치 수준에서 암호화를 사용합니다. 리눅스는 이것을 제공합니다DM 비밀번호. 전체 디스크(부트로더의 작은 영역 제외)를 암호화하거나 /home다른 파티션을 암호화할 수 있습니다. 전체 디스크를 암호화하지 않으면 기밀 정보가 다른 곳, 특히 스왑 공간에 있을 수 있다는 점을 명심하세요. 암호화된 데이터가 어디에든 있으면 스왑 공간을 암호화해야 합니다. 전체 디스크 암호화를 선택하면 컴퓨터가 자동으로 부팅될 수 없으며 키보드로 비밀번호를 입력해야 합니다.

블록 장치 전체가 암호화되기 때문에 디스크를 훔치는 공격자는 파일 내용과 메타데이터의 위치를 탐지할 수 없습니다. 암호화된 영역의 시작 부분에 있는 헤더를 제외하면 콘텐츠는 임의의 노이즈와 구별할 수 없습니다. 공격자는 암호화된 데이터의 여러 스냅샷을 보고 시간이 지남에 따라 개별 섹터가 어떻게 발전하는지 연구하여 일부 정보를 얻을 수 있지만, 그럼에도 불구하고 흥미로운 것을 찾기가 어렵고 나중에 데이터 수정을 중지하면 이는 적용되지 않습니다. 암호문을 본 경우(도난된 디스크의 경우)

많은 배포판에서는 설치 중에 dmcrypt 볼륨을 생성하거나 전체 디스크를 암호화할 수 있는 가능성을 제공합니다. "데스크탑" 또는 "기본" 이미지 대신 "고급" 또는 "서버" 설치 이미지를 선택해야 할 수도 있습니다.

dm-crypt 볼륨을 작동하는 도구는 다음과 같습니다.cryptsetup. dmcrypt 볼륨을 생성하려면 /dev/sdz9파티션을 생성한 후 를 실행 cryptsetup luksFormat /dev/sdz9해야 합니다./etc/crypttab; cryptsetup luksOpen라이브 볼륨 활성화의 경우, 또는cryptmount -a설정이 완료된 후 /etc/crypttab. Dm-crypt는 단지 암호화 계층이므로 암호화된 볼륨에 파일 시스템을 생성해야 합니다.

우분투와 함께 설치된 실행 LUKS 설치 프로그램에 Backtrack 5 r2를 설치합니다.dm-crypt를 완전히 수동으로 설정하는 방법에 대한 튜토리얼이 있습니다.

1 _{실험적으로 기본 설정에서 더 작은 파일 크기는 페이로드 파일 크기이며 4kB의 배수에 8kB 오버헤드를 더한 값으로 반올림됩니다.}

Answer

Ecryptfs는 암호화된 각 파일을 파일에 저장합니다(아래 파일 위치)암호화된 파일 시스템 용어). 파일 이름은 암호화되어 있지만 하위 파일의 디렉터리 구조는 페이로드 파일의 디렉터리 구조와 동일합니다. 하위 수준 파일의 메타데이터(특히 수정 시간)는 페이로드 파일의 메타데이터도 표시합니다. 하위 파일의 크기는 페이로드의 크기보다 약간 큽니다(Ecryptfs 메타데이터 오버헤드는 고정됨)1.

자신의 작업을 저장하고 있고 공격자가 이미 어떤 유형의 데이터를 가지고 있는지 대략적으로 알고 있는 경우("나는 이것이 소스 트리라는 것을 이미 알고 있으며 이것이 스프레드시트라는 것을 알고 있습니다. 알고 싶습니다!") 질문. 그러나 레이아웃(디렉터리 구조, 대략적인 크기, 날짜)으로 식별할 수 있는 디렉터리 트리를 저장하는 경우 Ecryptfs는 적합한 도구가 아닙니다.

블록 장치 수준에서 암호화를 사용합니다. 리눅스는 이것을 제공합니다DM 비밀번호. 전체 디스크(부트로더의 작은 영역 제외)를 암호화하거나 /home다른 파티션을 암호화할 수 있습니다. 전체 디스크를 암호화하지 않으면 기밀 정보가 다른 곳, 특히 스왑 공간에 있을 수 있다는 점을 명심하세요. 암호화된 데이터가 어디에든 있으면 스왑 공간을 암호화해야 합니다. 전체 디스크 암호화를 선택하면 컴퓨터가 자동으로 부팅될 수 없으며 키보드로 비밀번호를 입력해야 합니다.

블록 장치 전체가 암호화되기 때문에 디스크를 훔치는 공격자는 파일 내용과 메타데이터의 위치를 탐지할 수 없습니다. 암호화된 영역의 시작 부분에 있는 헤더를 제외하면 콘텐츠는 임의의 노이즈와 구별할 수 없습니다. 공격자는 암호화된 데이터의 여러 스냅샷을 보고 시간이 지남에 따라 개별 섹터가 어떻게 발전하는지 연구하여 일부 정보를 얻을 수 있지만, 그럼에도 불구하고 흥미로운 것을 찾기가 어렵고 나중에 데이터 수정을 중지하면 이는 적용되지 않습니다. 암호문을 본 경우(도난된 디스크의 경우)

많은 배포판에서는 설치 중에 dmcrypt 볼륨을 생성하거나 전체 디스크를 암호화할 수 있는 가능성을 제공합니다. "데스크탑" 또는 "기본" 이미지 대신 "고급" 또는 "서버" 설치 이미지를 선택해야 할 수도 있습니다.

dm-crypt 볼륨을 작동하는 도구는 다음과 같습니다.cryptsetup. dmcrypt 볼륨을 생성하려면 /dev/sdz9파티션을 생성한 후 를 실행 cryptsetup luksFormat /dev/sdz9해야 합니다./etc/crypttab; cryptsetup luksOpen라이브 볼륨 활성화의 경우, 또는cryptmount -a설정이 완료된 후 /etc/crypttab. Dm-crypt는 단지 암호화 계층이므로 암호화된 볼륨에 파일 시스템을 생성해야 합니다.

우분투와 함께 설치된 실행 LUKS 설치 프로그램에 Backtrack 5 r2를 설치합니다.dm-crypt를 완전히 수동으로 설정하는 방법에 대한 튜토리얼이 있습니다.

1 _{실험적으로 기본 설정에서 더 작은 파일 크기는 페이로드 파일 크기이며 4kB의 배수에 8kB 오버헤드를 더한 값으로 반올림됩니다.}

Question 2

튜토리얼의 경우 검색 엔진이 작동하는 것 같습니다.Howtoforge.com합리적인 힌트를 주는 것 같습니다.

일반적으로 다시 생각해 볼 수도 있습니다.정확히 뭐야?당신이 궁극적으로 달성하려고 하는 것. eCryptfs는 어느 정도 기밀성을 보장하지만 다음 사항에 유의해야 합니다.

다른 사용자로부터 홈 디렉토리의 내용을 숨기려면 간단히 chmod go=- $HOME충분합니다. 정말로 필요한 경우에는 다음을 사용하여 가질 수 있습니다 chmod go-rw $HOME.입력하다목차. AFAIU eCryptfs는 액세스 제어를 위해 기본 파일 시스템에 의존하기 때문에 이와 관련하여 많은 작업을 수행하지 않습니다.
루트(꼭 루트일 필요는 없음)는 일반적으로 대부분의 시스템에서 거의 모든 작업을 수행할 수 있으므로 아무리 암호화해도 악의적인 관리자나 성공적인 공격자로부터 사용자를 보호할 수 없습니다.

도난 방지 보호를 원하는 경우 암호화된 파티션/드라이브의 일반 파일 시스템이 더 나은 솔루션일 수 있습니다. 설정이 더 쉽고 전체 파일 시스템에 대해 하나의 비밀번호만 있으며 완전히 투명합니다. 그럼에도 불구하고 교환을 암호화해야 합니다(일반 텍스트 비밀번호/인증서가 암호화될 수 있는 곳이므로). 또한 최대 절전 모드 데이터(디스크 일시 중지를 사용하는 경우)는 민감한 데이터가 표시되는 또 다른 장소이므로 암호화해야 합니다. 그러나 이것은 약간 까다로울 수 있습니다.

Answer

튜토리얼의 경우 검색 엔진이 작동하는 것 같습니다.Howtoforge.com합리적인 힌트를 주는 것 같습니다.

일반적으로 다시 생각해 볼 수도 있습니다.정확히 뭐야?당신이 궁극적으로 달성하려고 하는 것. eCryptfs는 어느 정도 기밀성을 보장하지만 다음 사항에 유의해야 합니다.

다른 사용자로부터 홈 디렉토리의 내용을 숨기려면 간단히 chmod go=- $HOME충분합니다. 정말로 필요한 경우에는 다음을 사용하여 가질 수 있습니다 chmod go-rw $HOME.입력하다목차. AFAIU eCryptfs는 액세스 제어를 위해 기본 파일 시스템에 의존하기 때문에 이와 관련하여 많은 작업을 수행하지 않습니다.
루트(꼭 루트일 필요는 없음)는 일반적으로 대부분의 시스템에서 거의 모든 작업을 수행할 수 있으므로 아무리 암호화해도 악의적인 관리자나 성공적인 공격자로부터 사용자를 보호할 수 없습니다.

도난 방지 보호를 원하는 경우 암호화된 파티션/드라이브의 일반 파일 시스템이 더 나은 솔루션일 수 있습니다. 설정이 더 쉽고 전체 파일 시스템에 대해 하나의 비밀번호만 있으며 완전히 투명합니다. 그럼에도 불구하고 교환을 암호화해야 합니다(일반 텍스트 비밀번호/인증서가 암호화될 수 있는 곳이므로). 또한 최대 절전 모드 데이터(디스크 일시 중지를 사용하는 경우)는 민감한 데이터가 표시되는 또 다른 장소이므로 암호화해야 합니다. 그러나 이것은 약간 까다로울 수 있습니다.

홈 폴더를 완전히 숨기세요. ecryptfs가 올바른 선택인가요?

답변1

답변2

관련 정보