Включить шифрование диска после установки
Как мы пытались объяснить в FAQ, текущая бета-версия выполняет ручную синхронизацию папки Ubuntu One, а не других папок. Для следующего выпуска мы будем доводить его до уровня с клиентом Ubuntu, но на данный момент именно это.
3 ответа
Шифрование в / home выполняется с использованием файловой системы пользовательского пространства под названием ecryptfs. Это очень хорошо сделано и тесно связано с системой auth по умолчанию, так что у вас будут нулевые недостатки юзабилити: когда вы вводите свою учетную запись (либо из удаленной оболочки, либо из экрана входа по умолчанию), ваш пароль используется для разворачивания защищенного ключа , который затем используется для шифрования / дешифрования ваших файлов в вашем домашнем каталоге на лету (смонтированная файловая система будет находиться непосредственно в / home / username). Когда вы выходите из системы / home / username, размонтируется, и в системе остаются видимыми только зашифрованные файлы (обычно в /home/.ecryptfs/username/.Private/). Они выглядят как куча скремблированных / случайных файлов, так как имена файлов также зашифрованы. Единственной утечкой информации является: размер файлов, временные метки и количество файлов (с полным шифрованием диска они также скрыты).
Если ваша система должна использоваться совместно несколькими пользователями, это очень хорошая функция для даже если вы решите добавить полное шифрование диска вместе с этим: безопасность полного шифрования диска отключается, когда машина работает и работает, когда шифрование на дому (ecryptfs) включено до тех пор, пока вы выходите из системы.
Таким образом, полное шифрование диска и домашнее шифрование не обязательно являются взаимоисключающими.
Вот список возможных настроек, в зависимости от различных требований безопасности:
ТОЛЬКО ПОЛНЫЙ ДИСК : Если вы используете только один компьютер, и ваш компьютер может справиться с накладными расходами на полное шифрование диска (все современные настольные компьютеры могут это сделать без уведомления пользователя, нетбуков и старых ноутбуков не так много), вы можете использовать полное шифрование диска и поставить дома в том же разделе, что и ваша ОС (/). ПОЛНОЕ ДИСКОВАНИЕ ENCRYPTION И HOME ECRYPTFS ENCRYPTION: Если вы беспокоитесь о том, что ваши личные данные читаются во время вашего компьютера, или вы делитесь своим компьютером с другими пользователями, тогда вы можете иметь дом в другом разделе из / и использовать ecryptfs по всему диску шифрование (то есть шифрование / через LUKS). ТОЛЬКО ДЛЯ ECCRIPPHOS HOME. Если вы не слишком беспокоитесь о том, что кто-то подделывает вашу систему во время вашего отсутствия, но вы по-прежнему хотите, чтобы ваши личные данные были безопасными, пропустите полное шифрование диска и просто используйте ecryptfs (шифрование дома). Дополнительным преимуществом этого сценария является то, что это довольно просто настроить даже после того, как вы установили Ubuntu, просто используя ecryptfs-migrate-home. Также это была настройка Ubuntu по умолчанию, прежде чем она изменила несколько выпусков, добавив возможность полного шифрования диска. Так как большинство современных настольных компьютеров могут обрабатывать полное шифрование диска без пота, и он добавляет тонкий уровень защиты от встраивания кода в автономном режиме, в установщик добавлено полное шифрование диска. Обратите внимание, что для большинства пользователей, просто зашифровавших свой дом с помощью ecryptfs, будет достаточно для их нужд: держать своих друзей и обычных похитителей ноутбуков от их личных данных. Кроме того, если вы были специально нацелены на организацию с правильными средствами, полное шифрование диска или просто домашнее шифрование не будет иметь большого значения, если вы также не установили много других параноидальных поведений (например: сохранение ядра в отдельном ручном приводе, который всегда находится на вас, постоянно проверяя аппаратное вмешательство / клавиатурные шпионы и т. д.)Последующий вопрос: что такое вверх и вниз полный диск против just / home ?
Если я не включил шифрование диска во время установки, есть ли способ включить его post facto?
Ну, вы можете сделать резервную копию всех важных каталогов и установленного программного обеспечения. Убедитесь, что ваш 13.10 полностью обновлен, чтобы избежать конфликтов версий. Обычно это происходит:
/boot /etc home var /usr/local Программное обеспечение, установленное через Synaptic / Software Center. Если вы скомпилировали пользовательское программное обеспечение, возможно, вам придется добавить дополнительные папки в резервном копировании (например, /bin, /lib, lib64).После этого вы backup система только сейчас зашифрована. Обновите его в полном объеме. Затем переместите резервную копию в зашифрованную систему и установите все программное обеспечение из предыдущей версии.
Просто не забудьте перезаписать файлы, важные для шифрования, при возврате резервной копии (например, /etc/fstab, /etc/cryptab, некоторые связанные с grub вещи и некоторые вещи в /boot не должны быть заменены с резервными файлами).
Простой ответ: Нет.
Сложный ответ:
Шифрование диска или раздела приведет к стиранию всего содержимого на этом диске или разделе, поэтому для шифрования диска вы также должны удалить содержимое диска. Перед запуском необходимо сделать соответствующие резервные копии данных. Очевидно, это означает, что вы должны переустановить систему, чтобы использовать полное шифрование диска, ничем иным способом. Это связано с тем, что случайные данные будут записываться на весь диск, чтобы усложнить восстановление данных.
Но в настоящее время вам не нужно зашифровывать ваш корневой раздел. Помните, что если что-то идет по проводам, вы выходите из своей системы без возможности восстановить данные. Вместо этого вы должны зашифровать свою личную информацию.
См. Соответствующий вопрос Как зашифровать полный диск после установки?
-
1«Из вашей системы нет возможности восстановить данные». & lt; --- Это неверно. До тех пор, пока у вас есть ключ шифрования, данные могут быть восстановлены с помощью Live Medium. – con-f-use 2 November 2013 в 22:26
-
2@ con-f-use учитывает, что существует условное выражение «если что-то идет на провод», это означает, что если что-то невероятно плохое происходит с диском / разделом, который он зашифрован. – Braiam 2 November 2013 в 22:34
-
3Ну да, если вы nitpicky, нужно также поддерживать недавнюю резервную копию заголовка LUKS на зашифрованном диске. Но я бы включил это в «ключ шифрования». Помимо этого нет вреда в полном шифровании с точки зрения восстановления данных. Однако тот факт, что вы можете определить, какая версия Ubuntu включена, какие программы установлены и так далее, предоставляет возможный вектор атаки на не полностью зашифрованных дисках. Также SSD обычно делают. Таким образом, для параноика все еще не существует способа полного шифрования диска. – con-f-use 2 November 2013 в 22:45
-
4«Но, в настоящее время вам не нужно шифровать ваш корневой раздел. " Пожалуйста, говорите сами, я полностью не согласен. «Шифрование диска или раздела приведет к стиранию всего содержимого на этом диске или разделе, поэтому для шифрования диска вы также должны удалить содержимое диска. " Опять же, не согласен. Truecrypt - очень хороший пример выполнения FDE на Windows с существующими дисками. Фактически, это де-факто метод установки - незашифрованный, и однажды сделанный, зашифровывает его. Это не меняет ответа на то, что это невозможно для Ubuntu, но ваши заявления очень категоричны и неверны. – Cookie 21 March 2014 в 20:04
-
5@Cookie, почему бы вам зашифровать раздел, в котором есть материал, который вы можете установить позже? (и, пожалуйста, я говорю о управляемой пользовательской системе, ничего общего с корпоративными / корпоративными серверами, которые могли бы содержать в ней все вещи). 2) то, о чем вы говорите, является функцией truecrypt, доступной только для Windows до даты, и если вы не можете найти систему шифрования Linux, которая может зашифровать раздел после установки, мое утверждение верно, поскольку прямо сейчас невозможно. – Braiam 21 March 2014 в 20:22