Хочете просту у використанні схему шифрування диска Linux

В інтересах захисту особистої інформації в разі викрадення ноутбука я шукаю найкращий спосіб шифрування системи Linux.

Недоліки шифрування всього диска, включаючи своп:

• Підказка пароля перед завантаженням є якоюсь некрасивою та незабрудненою, з’являється прихованою серед повідомлень завантаження (може щось на зразок Splashy впоратися з цим?)
• Потрібно увійти в систему двічі (якщо у вас є екран для входу в GDM та потрібні кілька користувачів)

Недоліки індивідуального шифрування папок за допомогою libpam-mount або подібного:

• Зашифрована лише домашня папка користувача (тоді як / etc, / var тощо також може містити конфіденційну інформацію).
• Файл своп не зашифрований, тому, швидше за все, там буде витік конфіденційних даних
• Ніякого способу надійної сплячки.

Я використовую Debian Linux, якщо це має значення. Не потрібно бути смішно захищеним, але хочу спокійно, що злодій не може вкрасти мою особу, реквізити банківського рахунку, входи в VPN тощо., Якщо його вкрадуть під час вимкнення / сплячки.

Чи знаєте ви, як вирішити будь-яку з моїх вище проблем?

Ваша проблема є загальною: головним чином, складний баланс між безпекою та зручністю використання.

Моя пропозиція - використовувати трохи модифіковану версію змішаного підходу:

• використовуючи крос-платформне програмне забезпечення типу TrueCrypt, готуйте один або кілька зашифрованих томів для ваших особистих даних, які ви НЕ використовуєте щодня (банківські реквізити, збережені паролі, медичні записи тощо)
• Причина використовувати більше одного тома полягає в тому, що ви можете створити резервну копію на різних носіях або використовувати різні схеми шифрування: наприклад, ви можете поділитися своїми медичними записами з кимось іншим і сказати їм свою парольну фразу (яка повинна бути відрізняється від тієї, що використовується для інших томів)
• використання "стандартного" кросплатформенного програмного забезпечення означає, що ви зможете відновити свої дані з іншої ОС на ходу, якщо ваш ноутбук викрадений / пошкоджений
• Шифрування цілого диска часто громіздке і складне. Хоча для цього є напади (див. Evil Maid Attack, це виявляється корисним, якщо ти боїшся, що може статися, якщо люди мають доступ до всієї системи. Наприклад, якщо ти використовуєш ноутбук компанії, не маю адміністративний доступ і є VPN ключі, які не повинні бути викрадені
• кешовані паролі для пошти / веб / додатків - це ще одна проблема: можливо, ви можете зашифрувати лише свій домашній каталог? Для оптимізації продуктивності та безпеки / зручності використання ви можете:
  • зашифруйте всі домашні dir
  • програмне посилання на незашифрований каталог у вашій файловій системі для даних, які вам не важливо втрачати (музика, відео тощо)

Знову ж таки, не забувайте, що все зводиться до вартості того, що вам доведеться втратити, порівняно з вартістю вашого часу та витратами на відновлення.

Я не шифрую весь жорсткий диск, його занадто багато адміністратора / управління речі.

Тому я використовую dm-шифрування для створення логічно зашифрованого розділу.

Я створив навколо нього сценарій, яким я користуюсь щодня, подивіться, чи допомагає вам. Я називаю це під .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Ви можете використовувати підключений накопичувач для зберігання ключів шифрування. Для кращої безпеки він повинен бути захищений паролем, але цього не потрібно.

http://loop-aes.sourceforge.net/loop-AES.README дивіться на приклад 7.

Я все ще відносно новий в Linux, але я думав, коли вам потрібно буде встановити систему, щоб увімкнути шифрування на весь диск. Також TrueCrypt має пакет .deb.

Я ще не використовував шифрування диска в Linux, тому, можливо, ці варіанти мають проблеми, як ви описали вище. Що стосується багатокористувацького входу, можливо, TrueCrypt може бути налаштований на використання ключового файлу на USB-накопичувачі. Таким чином, все, що вам потрібно - це ноутбук та USB-накопичувач для доступу до файлів на ноутбуці.

Я все ще сам навчаюся Linux, тож сподіваюся, що це допоможе.

Про що ти хвилюєшся? Які вектори нападу? Перш ніж серйозно поставитися до безпеки, ви повинні мати відповіді на ці два питання.

"Особиста інформація" говорить про те, що ви турбуєтесь про такі речі, як крадіжка особи, випадкові снайпери та ін. Щось на зразок програмного забезпечення для брелоків достатньо для захисту реквізитів для входу у банк та c, однак для великих обсягів інформації недоцільно.

Якщо у вас є багато даних, які ви хочете захистити, інформація, до якої вам не потрібен швидкий доступ, і за яку ви готові заплатити невелику повторювану безкоштовно, то S4 Amazon - це хороший варіант, який повністю зніме занепокоєння щодо фізичних доступу, так що безпека зводиться до управління ключами, що, знову ж таки, адекватно вирішено програмним забезпеченням брелоків. Amazon не бачить вміст того, що ви зберігаєте таким чином, а лише зашифрований результат. Звичайно, це означає, що якщо ви зіпсуєте і втратите ключі, Amazon не зможе вам допомогти.

У третьому випадку, коли ви хочете відносно швидкий доступ до великої кількості даних, я рекомендую використовувати не ціле шифрування диска, а ціле шифрування розділів за пропозицією chinmaya. Зашифрування в каталозі - це неприємність, і я не рекомендую цього: отримайте систему подачі, щоб виконати роботу.