기본적으로 Linux(Debian) 파티션을 암호화하지 않고 설치했습니다.
하지만 나는방법을 찾았습니다최소한 홈 폴더를 암호화하면 이론적으로 컴퓨터를 도난당한 경우 액세스할 수 없도록 하고 싶은 모든 항목을 홈 폴더에 넣을 수 있습니다.
그러나 일부 폴더(/etc, /bin, /var, ..)는 암호화를 위해 기본 폴더로 이동할 수 없습니다. 내 사용자(!="root")를 고려하면 루트 액세스 권한이 있습니다(그러나각 su(do)의 비밀번호를 입력한 후), 다음에 대한 액세스를 제한하는 것을 고려하고 있습니다.예민한파일/폴더 접근 방식은 시스템의 나머지 부분이 손상되지 않도록 하면서 KDE에 로그인한 후 주 사용자(su(do) 없이도)만 파일/폴더에 액세스할 수 있도록 허용하는 것입니다.
가능합니까?(어쩌면 어느chmod등)
아, 잘 모르겠습니다."기본적으로" 애플리케이션 데이터 및 기타 민감한 정보를 포함해야 하는 폴더?
답변1
권한은 시스템의 다른 사용자가 일반적인 소프트웨어 수단을 통해 시스템에 액세스하는 것을 방지할 뿐입니다. 하드웨어에 접근하는 사람에게는 전혀 쓸모가 없으며 오직 암호화만이 이를 방지할 수 있습니다. 권한 설정은 봉투에 "비밀"을 쓰는 것과 같습니다. 이는 운영 체제가 봉투를 조작하는 유일한 엔터티인 경우 작동하지만 공격자가 봉투를 훔치는 경우에는 작동하지 않습니다.
민감한 문서가 저장될 수 있는 주요 장소는 다음과 같습니다.
- 교류지역;
/tmp(RAM에 없는 경우)/var/tmp(그러나 거기에는 작성된 프로그램이 거의 없습니다);- 이메일과 프린터(및 기타) 스풀이 위치합니다
/var/spool. /etcWi-Fi 비밀번호와 같은 일부 정보가 포함될 수 있습니다 .
모든 민감한 파일을 보호하는 것은 어렵습니다 /var. 모든 파일을 암호화해야 합니다. 게다가 시스템 파일을 ecryptfs에 넣는 쉬운 방법(또는 약간 진보된 방법)도 없습니다. ecryptfs는 기본적으로 암호화를 지향합니다. 단일 사용자의 파일 . 수학적으로 불가능하지는 않지만, 문제가 발생할 경우 어떻게 해야 할지 알지 않는 한 시도하지 않는 것이 좋습니다.나나는 그렇게 하지 않을 것이고, 전체 시스템을 암호화할 것입니다.
설치 후 시스템을 암호화할 수 있지만 쉽지 않습니다. 기본 아이디어는 복구 미디어에서 부팅하고, 기존 파티션을 전체 디스크보다 작게 축소하고, 이를 디스크 끝으로 이동하고, 이제 비어 있는 디스크 시작 부분에 암호화된 컨테이너를 생성하는 것입니다. 여기에 LVM 볼륨을 생성하고, 파일 시스템을 생성하고, 파일을 일반 텍스트 영역으로 이동하고, 일반 텍스트 볼륨을 더 작은 크기(~200MB)로 조정하고, 일반 텍스트 /boot볼륨으로 이동하고, 암호화된 컨테이너와 LVM 볼륨을 전체 디스크, 일부 스왑 공간을 다시 확보하고, 파일 시스템을 확장하고, 일반 텍스트 볼륨 File 을 마운트하고 /boot, Grub을 다시 설치하고 initramfs를 재생성하십시오. (아무것도 잊지 않았으면 좋겠는데...)
집 밖의 민감한 파일이 걱정된다면 다시 설치하는 것이 더 쉬울 수도 있습니다.
/home더 간단한 절충안은 홈 디렉토리를 디렉토리 트리로 암호화하는 대신 암호화된 볼륨을 만드는 것입니다 . (이렇게 하면 성능이 약간 향상될 수도 있습니다.) 기본 아이디어는 다음과 같습니다.
- 복구 미디어에서 부팅합니다.
- 기존 파일 시스템을 축소하고 파티션(
ext2resize,parted)을 포함합니다. - 여유 공간(
cryptsetup)에 dmcrypt 볼륨을 생성합니다. - dmcrypt 볼륨에 두 개의 LVM 볼륨(
pvcreate,vgcreate,lvcreate× 2) 을 생성합니다. 하나는 스왑(mkswap)용이고 다른 하나는/home(mkfs)용입니다. - 볼륨을 마운트
/home하고 그곳으로 이동합니다/home. - 업데이트
/etc/fstab하고/etc/crypttab. - 이제 다른 민감한 디렉터리(예: 프린터 스풀)를 이동하고
/home이를 추적하기 위한 기호 링크를 만들 수 있습니다. - 방금 삭제한 민감한 파일을 보호하려면,일반 텍스트 볼륨의 여유 공간 지우기.