Czy szyfrowanie katalogu domowego w przypadku zaszyfrowanej instalacji LVM jest nadmierne?

14

Instaluję z alternatywnego dysku CD i używam zaszyfrowanego dysku twardego LVM.

Instalator pyta teraz, czy chcę zaszyfrować mój katalog domowy, czy to przesada?

Joey BagODonuts
źródło
właśnie znalazłem tego roner70.blogspot.com/2010/05/… .. chociaż nie wyjaśniają, dlaczego jest to zły pomysł? każde wejście jest mile widziane.
Joey BagODonuts
To naprawdę osobisty wybór - szyfrowanie katalogu domowego, jeśli masz poufne informacje, nie chcesz być upubliczniony w przypadku kradzieży / utraty komputera, to pewnie konieczność, ale jeśli to tylko twoje ogólne informacje ..... nie ma problemu. używając opisanej metody i tak szyfrujesz płytę, a silniejsze hasło, którego użyjesz, odstraszy przeciętnego złodzieja, jeśli i tak wymaga zbyt wiele wysiłku, aby dostać się do twoich danych.
Mark Rooney

Odpowiedzi:

7

W przypadku większości systemów jest to przesada. Przez „zaszyfrowaną LVM” prawdopodobnie masz na myśli „LUKS” ( Linux Unified Key Setup ).

Szyfrowanie katalogu domowego chroni przed:

  • inni użytkownicy tego samego systemu uzyskujący dostęp do twoich plików
  • kradzież danych, gdy urządzenie zostanie skradzione / zgubione

Ale nie z:

  • Modyfikacja ustawień systemowych lub plików (w tym plików binarnych) poza katalogiem osobistym użytkowników. W ten sposób administrator (lub ktokolwiek z fizycznym dostępem i LiveCD) może zainstalować program, który kopiuje / modyfikuje pliki / ustawienia w twoim katalogu domowym.

Szyfrowanie systemu za pomocą LUKS (pełne szyfrowanie dysku w przypadku alternatywnego instalatora):

  • kradzież danych, gdy urządzenie zostanie skradzione / zgubione
  • integralność danych: każdy, kto nie zna Twojego hasła LUKS, nie może modyfikować ustawień systemowych ani plików, chociaż nadal nie jesteś chroniony przed atakiem zła pokojówka .

Tak więc, jeśli jesteś jedynym użytkownikiem systemu, szyfrowanie katalogu domowego nie zapewnia znaczącej ochrony i tylko pogorszy wydajność. Nie powinieneś tego robić, jeśli udostępniasz komputer osobom, którym możesz zaufać, a Twój komputer nie zawiera ściśle tajnych informacji. Ostatni przypadek: jeśli dzielisz maszynę i na komputerze jest zainstalowanych wiele systemów operacyjnych, a ty jesteś jedynym, który zna hasło, nadal nie ma potrzeby szyfrowania katalogu domowego.

Lekensteyn
źródło
4

To, czy będzie to przesada, zależy od okoliczności. Zaszyfrowany katalog domowy chroni twoje dane osobowe przed innymi użytkownikami systemu, a także przed intruzami z zewnątrz. Dodatkowo każdy dodatkowy poziom szyfrowania utrudnia intruzowi włamanie. Na moim dysku zapasowym, na którym znajdują się obrazy komputerów klienckich, z których niektóre zawierają numery kart kredytowych i numery ubezpieczenia społecznego, używam szyfrowania całego dysku, a następnie zaszyfrowany katalog domowy z innym hasłem i [PPP]: https://www.grc.com/ppp.htmkod. Jeśli chodzi o rzeczy z danymi osobowymi ludzi, dodatkowo umieszczę je w pojemniku TrueCrypt z kaskadowym szyfrowaniem. Prawdopodobnie jest to przesada, ale obejmuje wszystkie bazy. Ktoś, kto kradnie mój dysk, jest zablokowany ze wszystkiego, ktoś, kto w jakiś sposób włamuje się do działającego systemu, jest zablokowany z moich plików, a ktoś, kto uzyskuje dostęp do konsoli podczas gdy mam kopię zapasową, otrzymuje tylko odszyfrowany aktualnie zestaw kopii zapasowych (co jest najprawdopodobniej własne dane).

Decyzja o tym, jakiego poziomu potrzebujesz, polega w dużej mierze na wykryciu możliwych ataków, jakie ktoś może wykonać na twój system, i zablokowaniu ich. Szyfrowanie całego dysku jest prawdopodobnie więcej niż wystarczające dla 99% systemów dla jednego użytkownika.

Perkins
źródło