Советы о подходах к шифрованию дисков в Ubuntu?

3078
Yang

Я рассматриваю возможность шифрования содержимого моего ноутбука, который работает под управлением Ubuntu 10.04 и имеет подкачку ext4 +, и мне интересно, какие здесь лучшие варианты. Я знаю о:

  • TrueCrypt: либо блочное шифрование, либо виртуальное устройство в файле
  • ecryptfs: шифрование на уровне FS
  • dm-crypt: шифрование на уровне блоков
  • Loop-AES: блочное шифрование
  • зашифрованный LVM: шифрование на уровне блоков

Я пытаюсь понять, каковы наилучшие варианты (или каковы компромиссы), если я хочу зашифровать хотя бы / var, / home, / tmp, / etc и swap (думаю, что в значительной степени охватывает наиболее конфиденциальные данные, при условии, что я не устанавливаю секретные приложения в / usr или что-либо еще). Некоторые руководящие вопросы:

  • Насколько велико влияние как на производительность, так и на время автономной работы? Как насчет производительности на SSD?
  • В моем случае, я могу установить его без необходимости установки новой системы - просто возьмите мой существующий ext4 / swap и зашифруйте их? (Желательно, не требуя некоторого промежуточного хранилища, но что более важно, предпочтительно не требуя, чтобы я переустанавливал ОС?)
  • Любое из вышеперечисленного рекомендуется по сравнению с другими? (По крайней мере, идти вперед, на Ubuntu)? Любые, которые устарели / устарели?

Я понимаю, что ранее обсуждались вопросы шифрования дисков в Linux, но они, как правило, охватывают только подмножества указанных выше вариантов и вопросов. Спасибо за любое руководство.

5
Один важный предыдущий вопрос: «Какой самый простой способ зашифровать каталог? (в Ubuntu)] (http://superuser.com/questions/182099/what-is-the-easiest-way-to-encrypt-a-dir-on-ubuntu). Одна из возможностей, которую вы упустили, это `encfs`. Gilles 14 лет назад 0
Обратите внимание, что никакое шифрование не защитит ваши данные, если кто-то получит временный доступ к вашему ноутбуку и установит на него вредоносное ПО - атака «злой девицы» (http://www.schneier.com/blog/ архивы / 2009/10 / evil_maid_attac.html). Gilles 14 лет назад 0

2 ответа на вопрос

2
nedm

Я также использую зашифрованный LVM - сервер Ubuntu .iso очень легко поддерживает это во время установки, поэтому я устанавливаю его с дистрибутива сервера и запускаю sudo apt-get install ubuntu-desktop(или sudo apt-get install xubuntu-desktopна старых системах) после завершения установки рабочего стола оттуда.

Я действительно не замечаю снижения производительности даже на старых ноутбуках со скоростью 5400 об / мин. Я также не заметил, как это влияет на время автономной работы - если бы это было так, это было бы не более нескольких процентов.

После того как вы решили зашифровать весь том LVM, я бы посоветовал НЕ выбирать шифрование пользовательских папок поверх этого, так как экспериментируя с этим, система зависала надежно в 9.04 и 9.10 (не пробовала в 10.04).

только примечание, рабочий стол и альтернативная поддержка это во время установки также. Я использую Lucid и Maverick, хотя, поэтому он может не поддерживаться в более старых версиях. RobotHumans 14 лет назад 1
Это полезно знать - сэкономит немного времени в следующий раз, когда я установлю свежий дектоп. nedm 14 лет назад 0
Может ли зашифрованный LVM шифровать подкачку? И есть ли способ перейти на зашифрованный LVM без переустановки ОС? Yang 14 лет назад 0
Да, если вы выберете опцию зашифрованного LVM, ваш своп также будет зашифрован. nedm 14 лет назад 0
* На самом деле я не замечаю снижения производительности даже на старых ноутбуках со скоростью вращения 5400 об / мин. * Если производительность снижается, вы, скорее всего, заметите это на более новом и более быстром диске. Если у вас медленный диск, это главное узкое место. Federico Poloni 7 лет назад 0
1
RobotHumans

моя любимая зашифрованная LVM, не шифруйте подкачку, если у вас есть спящий режим или приостановка на диск. Это может быть проблемой.

без промежуточного хранилища - если есть способ, я ему не доверяю.

не так заметно для меня время автономной работы, но мой ноутбук работает на 53 Вт, если я не включу беспроводную связь и не проработаю около 6 часов, если экран тускнеет. видео пропускает, когда на батарее, но кроме этого все в порядке.

SSD, ячейки постоянно заряжаются / разряжаются, чтобы улучшить жизнь в этих файловых системах. Я не думаю, что у них есть пропускная способность, которую я хотел бы для запуска ОС, но я думаю, что вам нравится.

я видел sd или usb, используемые для хранения ДЕЙСТВИТЕЛЬНО длинной парольной фразы LUKS для шифрования LVM.

Единственный недостаток LUKS заключается в том, что ключ расшифровки хранится в оперативной памяти, поэтому, если ваш компьютер занят, есть способы восстановления.

Зашифрованный своп определенно поддерживается. Я использовал гибернацию с dm-crypt swap; вам просто нужно ввести пароль, чтобы вернуться из спящего режима. Gilles 14 лет назад 1
Да, шифрованный своп поддерживается, я использую его больше года :-). На самом деле, в последних версиях Debian / Ubuntu это опция в установщике. sleske 14 лет назад 1
«Единственный недостаток luks - это то, что ключ дешифрования хранится в оперативной памяти». Это слабое место * всех * решений FDE, и его нельзя избежать. Это называется «холодная атака». sleske 14 лет назад 0
полное шифрование диска с помощью аппаратного ключа не имеет этого недостатка RobotHumans 14 лет назад 0
Может ли шифрование LVM шифровать обмен? И есть ли способ перейти на зашифрованный LVM без переустановки ОС? Yang 14 лет назад 0
Поддерживается swap encrypted, но я ему не доверяю. приостановка на диск в некоторых конфигурациях привела к потере данных для меня ... миграция без переустановки ОС абсолютно, без промежуточного хранилища, если есть способ, которому я не доверяю RobotHumans 14 лет назад 0

Похожие вопросы