Хотите простую в использовании схему шифрования диска Linux

В целях защиты личной информации в случае кражи ноутбука я ищу лучший способ шифрования системы Linux.

Недостатки шифрования всего диска, включая обмен:

• Запрос пароля перед загрузкой выглядит некрасиво и неполированно, и кажется скрытым среди загрузочных сообщений (может ли что-то вроде Splashy справиться с этим?)
• Необходимо войти в систему дважды (если у вас есть экран входа в GDM и вам нужно несколько пользователей)

Недостатки шифрования отдельных папок с использованием libpam-mount или аналогичного:

• Зашифрована только домашняя папка пользователя (тогда как / etc, / var etc могут также содержать конфиденциальную информацию).
• Файл подкачки не зашифрован, поэтому возможна утечка конфиденциальных данных
• Нет способа безопасно перевести в спящий режим.

Я использую Debian Linux, если это имеет значение. Не нужно быть смехотворно защищенным, но нужно быть уверенным, что вор не может украсть мою личность, банковские реквизиты, логин VPN и т. Д., Если он был украден во время выключения / гибернации.

Знаете ли вы способы решения любой из моих вышеупомянутых проблем?

Ваша проблема является общей: в основном, сложный баланс между безопасностью и удобством использования.

Я предлагаю использовать слегка измененную версию смешанного подхода:

• с помощью кросс-платформенного программного обеспечения, такого как TrueCrypt, подготовьте один или несколько зашифрованных томов для ваших личных данных, которые вы НЕ используете ежедневно (банковские реквизиты, сохраненные пароли, медицинские записи и т. д.)
• причина использования более одного тома заключается в том, что вы можете создать резервную копию их на другом носителе или использовать разные схемы шифрования: например, вы можете поделиться своими записями о здоровье с кем-то другим и сообщить им свою парольную фразу (которая должна быть отличается от того, что используется для других томов)
• Использование «стандартного» кроссплатформенного программного обеспечения означает, что вы сможете восстановить данные из другой ОС на лету, если ваш ноутбук будет украден / поврежден
• шифрование всего диска часто бывает громоздким и сложным. Хотя для этого есть атаки (см. « Злая атака горничной», она оказывается полезной, если вы боитесь того, что может произойти, если у людей есть доступ ко всей системе. Например, если вы используете ноутбук компании, не административный доступ и есть ключи VPN, которые не должны быть украдены
• Кэшированные пароли для mail / web / apps - еще одна проблема: возможно, вы захотите зашифровать только свой домашний каталог? Для оптимизации производительности и безопасности / удобства использования вы можете:
  • зашифровать весь домашний каталог
  • мягкая ссылка на незашифрованный каталог в вашей файловой системе для данных, которые вы не хотите потерять (музыка, видео и т. д.)

Опять же, не забывайте, что все сводится к стоимости того, что вы должны потерять, по сравнению с ценой вашего времени и затрат на восстановление.

Я не зашифровываю весь жесткий диск, это просто слишком много для администратора / управления.

Поэтому я использую dm-encrypt для создания логического зашифрованного раздела.

Я написал сценарий вокруг него, который я использую ежедневно, чтобы понять, поможет ли он вам. Я называю это под .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Вы можете использовать Pend Drive для хранения ключей шифрования. Для лучшей безопасности он должен быть защищен паролем, но это не обязательно.

http://loop-aes.sourceforge.net/loop-AES.README посмотрите на пример 7.

Я все еще относительно новичок в Linux, но я подумал, что когда вы устанавливали систему, был способ включить шифрование всего диска. Кроме того, TrueCrypt имеет пакет .deb.

Я еще не использовал шифрование диска в Linux, поэтому, возможно, у этих опций есть проблемы, которые вы описали выше. Что касается многопользовательского входа, возможно, TrueCrypt может быть настроен на использование файла ключа на USB-накопителе. Таким образом, все, что вам нужно, это ноутбук и USB-накопитель для доступа к файлам на ноутбуке.

Я все еще изучаю Linux, поэтому надеюсь, что это поможет.

Что вас беспокоит? Какие векторы атаки? Прежде чем вы начнете серьезно относиться к безопасности, у вас должны быть ответы на эти два вопроса.

«Личная информация» предполагает, что вы беспокоитесь о таких вещах, как кража личных данных, случайные шпионы и т. Д. Что-то вроде программного обеспечения цепочки для ключей достаточно для защиты банковских учетных данных и т. Д., Но нецелесообразно для больших объемов информации.

Если у вас есть много данных, которые вы хотите защитить, информация, к которой вам не нужен быстрый доступ, и за которую вы готовы платить небольшую повторяющуюся бесплатную плату, то Amazon S4 - хороший вариант, полностью устраняющий беспокойство по поводу физического доступ, так что безопасность сводится к управлению ключами, что, опять же, адекватно решается программным обеспечением цепочки для ключей. Amazon не видит содержимое того, что вы храните таким образом, а только зашифрованный результат. Конечно, это означает, что если вы испортите и потеряете ключи, Amazon не сможет вам помочь.

В третьем случае, когда вам нужен относительно быстрый доступ к большому количеству данных, я рекомендую использовать не целое шифрование диска, а шифрование всего раздела, согласно предложению chinmaya. Шифрование по каталогам - это неприятность, и я не рекомендую этого: заставить систему делопроизводства делать свою работу.