Является ли шифрование домашнего каталога на зашифрованной установке LVM избыточным?

Question 1

Я устанавливаю с альтернативного компакт-диска и использую жесткий диск с шифрованием LVM.

Установщик теперь спрашивает, хочу ли я зашифровать мой домашний каталог, это перебор?

Question 2

Это перебор для большинства систем. Под «зашифрованным LVM» вы, вероятно, подразумеваете «LUKS» ( Linux Unified Key Setup ).

Шифрование домашнего каталога защищает вас от:

других пользователей в той же системе, которые получают доступ к вашим файлам
кражи данных при краже / потере машины

Но не из:

Модификация системных настроек или файлов (включая двоичные файлы) вне домашнего каталога пользователей. Таким образом, администратор (или любой человек с физическим доступом и LiveCD) может установить программу, которая копирует / изменяет файлы / настройки в вашем домашнем каталоге.

Шифрование вашей системы с помощью LUKS (полное шифрование диска в случае альтернативного установщика):

кража данных при краже / потере машины
данных Целостность: любой, кто не знает вашу парольную фразу LUKS, не может изменять настройки вашей системы или файлы, хотя вы все еще не защищены от атаки злой служанки .

Итак, если вы являетесь единственным пользователем системы, шифрование вашего домашнего каталога не добавляет существенной защиты и только ухудшает производительность. Вы также не должны этого делать, если вы делитесь своим компьютером с людьми, которым вы можете доверять, и ваш компьютер не содержит сверхсекретной информации. Последний случай: если вы используете компьютер совместно, и на нем установлено несколько операционных систем, и вы единственный, кто знает кодовую фразу, вам все равно не нужно шифровать ваш домашний каталог.

Question 3

Question 4

Зависит или нет, зависит от ваших обстоятельств. Зашифрованный домашний каталог защитит ваши личные данные от других пользователей системы, а также от посторонних. Кроме того, каждый дополнительный уровень шифрования затрудняет взлом злоумышленника. На моем резервном диске, на котором есть образы клиентских компьютеров, некоторые из которых содержат номера кредитных карт и номера социального страхования, я использую полное шифрование диска, а затем зашифрованный домашний каталог с другим паролем и [PPP]: https://www.grc.com/ppp.htm . Что касается вещей с личной информацией людей, я дополнительно помещу ее в контейнер TrueCrypt с каскадным шифрованием. Это, вероятно, излишне, но оно охватывает все основы. Кто-то, кто крадет мой диск, заблокирован от всего, кто-то, кто каким-то образом взламывает работающую систему, заблокирован из моих файлов, а кто-то, кто получает консольный доступ, пока у меня есть резервное копирование, получает только расшифрованный набор резервных копий (который наиболее их собственные данные.)

Решение о том, какой уровень вам нужен, во многом зависит от выяснения возможных атак на вашу систему и блокирования их. Полного шифрования диска, вероятно, более чем достаточно для 99% однопользовательских систем.

Lekensteyn · Answer 1 · 13 April 2011 в 20:25

Это перебор для большинства систем. Под «зашифрованным LVM» вы, вероятно, подразумеваете «LUKS» ( Linux Unified Key Setup ).

Шифрование домашнего каталога защищает вас от:

других пользователей в той же системе, которые получают доступ к вашим файлам
кражи данных при краже / потере машины

Но не из:

Модификация системных настроек или файлов (включая двоичные файлы) вне домашнего каталога пользователей. Таким образом, администратор (или любой человек с физическим доступом и LiveCD) может установить программу, которая копирует / изменяет файлы / настройки в вашем домашнем каталоге.

Шифрование вашей системы с помощью LUKS (полное шифрование диска в случае альтернативного установщика):

кража данных при краже / потере машины
данных Целостность: любой, кто не знает вашу парольную фразу LUKS, не может изменять настройки вашей системы или файлы, хотя вы все еще не защищены от атаки злой служанки .

Итак, если вы являетесь единственным пользователем системы, шифрование вашего домашнего каталога не добавляет существенной защиты и только ухудшает производительность. Вы также не должны этого делать, если вы делитесь своим компьютером с людьми, которым вы можете доверять, и ваш компьютер не содержит сверхсекретной информации. Последний случай: если вы используете компьютер совместно, и на нем установлено несколько операционных систем, и вы единственный, кто знает кодовую фразу, вам все равно не нужно шифровать ваш домашний каталог.

Perkins · Answer 2 · 13 April 2011 в 20:25

Зависит или нет, зависит от ваших обстоятельств. Зашифрованный домашний каталог защитит ваши личные данные от других пользователей системы, а также от посторонних. Кроме того, каждый дополнительный уровень шифрования затрудняет взлом злоумышленника. На моем резервном диске, на котором есть образы клиентских компьютеров, некоторые из которых содержат номера кредитных карт и номера социального страхования, я использую полное шифрование диска, а затем зашифрованный домашний каталог с другим паролем и [PPP]: https://www.grc.com/ppp.htm . Что касается вещей с личной информацией людей, я дополнительно помещу ее в контейнер TrueCrypt с каскадным шифрованием. Это, вероятно, излишне, но оно охватывает все основы. Кто-то, кто крадет мой диск, заблокирован от всего, кто-то, кто каким-то образом взламывает работающую систему, заблокирован из моих файлов, а кто-то, кто получает консольный доступ, пока у меня есть резервное копирование, получает только расшифрованный набор резервных копий (который наиболее их собственные данные.)

Решение о том, какой уровень вам нужен, во многом зависит от выяснения возможных атак на вашу систему и блокирования их. Полного шифрования диска, вероятно, более чем достаточно для 99% однопользовательских систем.

Является ли шифрование домашнего каталога на зашифрованной установке LVM избыточным?

2 ответа

Другие вопросы по тегам:

Похожие вопросы: