Kullanımı kolay bir Linux disk şifreleme şeması istiyorum

Bir dizüstü bilgisayarın çalınması durumunda kişisel bilgileri korumak adına bir Linux sistemini şifrelemenin en iyi yolunu arıyorum.

Takas dahil tüm disk şifrelemenin dezavantajları:

• Önyükleme öncesi parola istemi, önyükleme iletileri arasında gizli görünen çirkin ve cilasızdır (Splashy gibi bir şey bunu halledebilir mi?)
• İki kez giriş yapmanız gerekiyor (GDM giriş ekranınız varsa ve birden fazla kullanıcıya ihtiyacınız varsa)

Libpam mount veya benzeri bir klasör şifrelemesinin dezavantajları:

• Yalnızca kullanıcının ana klasörü şifrelenir (oysa / etc, / var vb. Hassas bilgiler de içerebilir).
• Takas dosyası şifreli değil, bu nedenle orada hassas verilerin sızması muhtemel
• Güvenli bir şekilde hazırda bekletme yolu yoktur.

Önemli olursa Debian Linux kullanıyorum. Gülünç derecede güvenli olması gerekmez, ancak bir hırsızın kimliğimi, banka hesabı ayrıntılarını, VPN oturumlarını vb.

Yukarıdaki sorunlardan herhangi birini çözmenin yollarını biliyor musunuz?

Sorununuz yaygın bir sorundur: temel olarak güvenlik ve kullanılabilirlik arasındaki zor denge.

Benim önerim, karışık bir yaklaşımın biraz değiştirilmiş bir versiyonunu kullanmaktır:

• TrueCrypt gibi platformlar arası yazılımlar kullanarak günlük olarak KULLANMAYIN kişisel verileriniz için bir veya daha fazla şifreli birim hazırlayın (banka bilgileri, kaydedilmiş şifreler, tıbbi kayıtlar, vb.)
• birden fazla birim kullanmanın nedeni, onları farklı ortamlarda yedeklemek veya farklı şifreleme düzenleri kullanmak isteyebilmenizdir: örneğin, sağlık kayıtlarınızı başka biriyle paylaşmak ve parolanızı ( diğer ciltler için kullanılandan farklı)
• "standart" çapraz platform yazılımı kullanmak, dizüstü bilgisayarınız çalınırsa / hasar görürse verilerinizi başka bir işletim sisteminden anında kurtarabileceğiniz anlamına gelir
• tüm disk şifrelemesi genellikle hantal ve zordur. Bunun için saldırılar olmasına rağmen (bkz. Kötü Hizmetçi Saldırısı , insanların tüm sisteme erişmesi durumunda neler olabileceğinden korkarsanız yararlı olur . Örneğin, bir şirket dizüstü bilgisayarı kullanıyorsanız, yönetici erişimi ve çalınmaması gereken VPN anahtarları var
• posta / web / uygulamalar için önbelleğe alınmış şifreler başka bir sorundur: belki de yalnızca ana dizininizi şifrelemek isteyebilirsiniz? Performansı ve güvenliği / kullanılabilirliği optimize etmek için şunları yapabilirsiniz:
  • tüm ev dizinini şifrele
  • kaybetmeyi umursadığınız veriler için (müzik, video vb.) dosya sisteminizdeki şifrelenmemiş bir dizine yazılım bağlantısı

Yine, her şeyin, zamanınızın değeri ve iyileşme maliyetinizle karşılaştırıldığında, kaybetmeniz gereken şeyin değeri üzerinde kaydığını unutmayın.

Tüm sabit disk şifrelemek yok, onun çok fazla yönetici / yönetim thingie.

Bu yüzden mantıklı bir şifreli bölüm oluşturmak için dm-encrypt kullanıyorum.

Her gün kullandığım bir senaryo yazdım, size yardımcı olup olmadığını görün. Buna .bashrc adı altında

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

Şifreleme anahtarlarını saklamak için pend drive kullanabilirsiniz. En iyi güvenlik için parola korumalı olmalıdır, ancak zorunlu değildir.

http://loop-aes.sourceforge.net/loop-AES.README örnek 7'ye bakın.

Linux için hala nispeten yeniyim, ancak sistemi ne zaman yükleyeceğinizi tam disk şifrelemeyi açmanın bir yolu olduğunu düşündüm. Ayrıca, TrueCrypt bir .deb paketine sahiptir.

Henüz Linux'ta disk şifreleme kullanmamıştım, bu yüzden belki de bu seçeneklerin yukarıda açıkladığınız gibi sorunları var. Çok kullanıcılı oturum açma ile ilgili olarak, belki de TrueCrypt bir USB sürücüde bir anahtar dosyası kullanacak şekilde ayarlanabilir. Bu şekilde tek ihtiyacınız olan şey dizüstü bilgisayardaki dosyalara erişmek için dizüstü bilgisayar ve USB sürücüsüdür.

Hala Linux öğreniyorum, bu yüzden umarım bu yardımcı olur.

Ne hakkında endişeleniyorsun? Ne saldırı vektörleri? Güvenlik konusunda ciddiye almadan önce, bu iki soruya cevap vermelisiniz.

"Kişisel bilgi" kimlik hırsızlığı, sıradan snoopers & c. Anahtarlık girişi gibi bir şey, banka giriş bilgilerini korumak için yeterlidir, ancak büyük miktarda bilgi için pratik değildir.

Korumak istediğiniz çok fazla veriniz varsa, hızlı erişim gerektirmeyen ve tekrarlayan küçük bir bedel ödemeye hazır olduğunuz bilgiler varsa, Amazon'un S4'ü, fiziksel endişeleri tamamen ortadan kaldıran iyi bir seçenektir. erişim, böylece anahtarlık yazılımı tarafından yeterince çözülen anahtar yönetimine indirgenir. Amazon, bu şekilde sakladığınız içeriğin içeriğini değil, yalnızca şifrelenmiş sonucu görür. Tabii ki bu, karışıklık yapar ve anahtarları kaybederseniz, Amazon'un size yardımcı olamayacağı anlamına gelir.

Büyük miktarda veriye nispeten hızlı erişim sağlamak istediğiniz üçüncü durumda, chinmaya'nın önerisi doğrultusunda tüm disk şifrelemesini değil, tüm bölüm şifrelemesini kullanmanızı öneririm. Dizin başına şifreleme bir sıkıntıdır ve bunu önermiyorum: işi yapmak için dosyalama sistemini alın.