Чи надмірне шифрування домашнього каталогу на зашифрованій установці LVM?

14

Я встановлюю з альтернативного компакт-диска і використовую зашифрований LVM жорсткий диск.

Інсталятор зараз запитує, чи хочу я зашифрувати свій домашній каталог, це зайва помилка?

installation encryption

щойно знайшли це roner70.blogspot.com/2010/05/… .. хоча вони не пояснюють, чому це погана ідея? будь-який вклад цінується.

— Joey BagODonuts

Це дійсно особистий вибір - шифрування домашнього каталогу, якщо у вас є конфіденційна інформація, яку ви не бажаєте оприлюднювати у випадку крадіжки / втрати комп'ютера - це, мабуть, необхідна думка, але якщо у вас є лише ваша загальна інформація ..... не надто хвилює. використовуючи викладений метод, ви все одно шифруєте диск, і чим сильніше пароль, який ви використовуєте, буде стримувати пересічного злодія, якщо він вимагає занадто великих зусиль, щоб все-таки потрапити у ваші дані.

— Марк Руні

7

Для більшості систем це надмірно. Під "зашифрованим LVM" ви, швидше за все, маєте на увазі "LUKS" ( Linux Unified Key Setup ).

Шифрування домашнього каталогу захищає вас від:

інші користувачі тієї ж системи, що мають доступ до ваших файлів
крадіжка даних при викраденні / втраті машини

Але не від:

Модифікація системних налаштувань або файлів (включаючи бінарні файли) поза домашнім каталогом користувачів. Таким чином адміністратор (або будь-хто з фізичним доступом та LiveCD) може встановити програму, яка копіює / модифікує файли / налаштування у вашому домашньому каталозі.

Шифрування системи за допомогою LUKS (повне шифрування диска у випадку альтернативного інсталятора):

крадіжка даних при викраденні / втраті машини
цілісність даних: кожен, хто не знає вашої парольної фрази LUKS, не може змінити ваші системні налаштування чи файли, хоча ви все ще не захищені від нападу злих покоївок .

Отже, якщо ви єдиний користувач системи, шифрування домашнього каталогу не додасть суттєвого захисту і лише погіршить продуктивність. Ви також не повинні робити цього, якщо ви ділитесь машиною з людьми, яким ви можете довіряти, а ваш комп'ютер не містить відомостей, що є секретними. Остаточний випадок: якщо ви обмінюєтесь машиною і на машині встановлено кілька операційних систем, і ви єдиний, хто знає пароль, все ще не потрібно шифрувати домашній каталог.

— Лекенштейн
джерело

4

Незалежно від того, чи буде це надмірність, залежить від ваших обставин. Зашифрований домашній каталог захистить ваші особисті дані від інших користувачів в системі, а також від сторонніх зловмисників. Крім того, кожен додатковий рівень шифрування робить зловмиснику складніше пробій. На моєму резервному диску, на якому є зображення клієнтських машин, деякі з яких містять номери кредитних карток та соціального страхування, я використовую ціле шифрування диска з подальшим зашифрований домашній каталог з іншим паролем та [PPP]: https://www.grc.com/ppp.htmкод. Що стосується особистої інформації людей, я додатково вставлю її в контейнер TrueCrypt з каскадним шифруванням. Це, мабуть, надмірність, але він охоплює всі основи. Хтось, хто вкраде мій привід, заблокований з усього, хтось, хто якимось чином зламає працюючу систему, заблокований з моїх файлів, а хтось, хто отримує доступ до консолі, в той час як у мене це резервне копіювання, отримує лише розшифрований на даний момент резервний набір резервних копій (що, швидше за все, є власні дані.)

Вирішення рівня, який вам потрібен, багато в чому полягає в тому, щоб дізнатися, які можливі атаки хтось, можливо, зробить проти вашої системи, і вимкнути їх. Цілого шифрування диска, мабуть, більш ніж достатньо для 99% однокористувацьких систем.

— Перкінс
джерело