Является ли шифрование домашнего каталога на зашифрованной установке LVM избыточным?

14

Я устанавливаю с альтернативного компакт-диска и использую жесткий диск с шифрованием LVM.

Теперь установщик спрашивает, хочу ли я зашифровать мой домашний каталог, это перебор?

Джои Багодонутс
источник
только что нашел этот roner70.blogspot.com/2010/05/… .. хотя они не объясняют, почему это плохая идея? Любой вклад приветствуется.
Джои Багодонутс
Это действительно личный выбор - шифрование домашнего каталога, если у вас есть конфиденциальная информация, которую вы не хотите, чтобы ее делали «общедоступной» в случае кражи / потери компьютера, вероятно, является необходимостью, но я думаю, что если она содержит только вашу общую информацию ..... не слишком большая проблема. используя метод, описанный выше, вы все равно шифруете диск, и чем сильнее пароль, который вы используете, будет сдерживать среднего вора, если ему все равно потребуется слишком много усилий для доступа к вашим данным.
Марк Руни

Ответы:

7

Это излишне для большинства систем. Под «зашифрованным LVM» вы, вероятно, имеете в виду «LUKS» ( Linux Unified Key Setup ).

Шифрование домашнего каталога защищает вас от:

  • другие пользователи в той же системе получают доступ к вашим файлам
  • кража данных при краже / потере машины

Но не из:

  • Модификация системных настроек или файлов (включая двоичные файлы) вне домашнего каталога пользователей. Таким образом, администратор (или любой человек с физическим доступом и LiveCD) может установить программу, которая копирует / изменяет файлы / настройки в вашем домашнем каталоге.

Шифрование вашей системы с использованием LUKS (полное шифрование диска в случае альтернативного установщика):

  • кража данных при краже / потере машины
  • целостность данных: любой, кто не знает вашу парольную фразу LUKS, не может изменять настройки вашей системы или файлы, хотя вы все еще не защищены от атаки Evil Maid .

Таким образом, если вы являетесь единственным пользователем системы, шифрование вашего домашнего каталога не добавляет существенной защиты и только ухудшает производительность. Вы также не должны этого делать, если вы делитесь своим компьютером с людьми, которым вы можете доверять, и ваш компьютер не содержит сверхсекретной информации. Последний случай: если вы используете компьютер совместно, и на нем установлено несколько операционных систем, и вы единственный, кто знает ключевую фразу, вам все равно не нужно шифровать домашний каталог.

Lekensteyn
источник
4

Будет ли это излишним, зависит от ваших обстоятельств. Зашифрованный домашний каталог защитит ваши личные данные от других пользователей системы, а также от посторонних. Кроме того, каждый дополнительный уровень шифрования затрудняет взлом злоумышленника. На моем резервном диске, на котором есть образы клиентских компьютеров, некоторые из которых содержат номера кредитных карт и номера социального страхования, я использую шифрование всего диска, а затем зашифрованный домашний каталог с другим паролем и [PPP]: https://www.grc.com/ppp.htmкод. Для вещей с личной информацией людей, я буду дополнительно помещать ее в контейнер TrueCrypt с каскадным шифрованием. Это, вероятно, излишне, но оно охватывает все основы. Кто-то, кто крадет мой диск, заблокирован от всего, кто-то, кто каким-то образом взламывает работающую систему, заблокирован из моих файлов, а кто-то, кто получает консольный доступ, пока у меня есть резервное копирование, получает только расшифрованный набор резервных копий (что наиболее вероятно свои данные.)

Решение о том, какой уровень вам нужен, во многом зависит от того, какие возможные атаки кто-то может совершить против вашей системы, и от их блокировки. Полное шифрование диска, вероятно, более чем достаточно для 99% однопользовательских систем.

Perkins
источник