Şifreli herhangi bir neden /?

9

Ben büyük bir linux hayranıyım ve ara sıra yeni dağıtımları denemeyi seviyorum. Genellikle ev klasörlerim ve köklerim şifreli bir bölümün üstünde bir lvm'de var, ancak bu her initramfs oluşturma işleminin sonuncusundan daha yabancı olmasıyla hantal olma eğilimindedir.

Gizliliğe değer veriyorum, ancak değerli bilgilerimin veya kişisel bilgilerinizin çoğu ana klasörlerde saklanıyor. Dahası, GPT kullanarak bölümlere ayırdım, bu yüzden birden çok bölümün bir lvm dışında bile kurulumu o kadar zor değil.

Yani soru şu: Kök şifreleme ve "/" lvm-in buna değer mi, özellikle uğraşmak zorunda olduğum tüm erken kullanıcı alanı güçlüklerinde?

lvm  encryption  root-filesystem 
nikitautiu
kaynak
2
Belki de bahsetmem gereken bir şey takas. Bir dizüstü bilgisayarda çalışıyorum, bu yüzden sık sık diske takas kullanıyorum. Bu, bölüm şifrelenmediği sürece kolayca kullanılabilir bir özelliktir ve kök takılmadan önce böyle bir takasın takılması yapıldığı için, ben de oradayken / de de bağlayabileceğim anlamına gelir.
nikitautiu

Yanıtlar:

12

Her şeyden önce şifreli kök ve erken kullanıcı alanı ile uğraşma genellikle dağıtımınız tarafından zaten ele alınır (bildiğim kadarıyla Fedora, Debian, Ubuntu ve OpenSUSE şifreli kökü kutudan çıkarır). Bu, kurulumun kendisini önemsemeniz gerekmediği anlamına gelir.

/ Şifrelemesinin bir nedeni, hiçbir bilgi sızdırmayacağınızdan emin olmaktır. / Tmp dosyasına geçici veri yazan programları , / var / log içindeki kullanıcı adı / parolalar gibi hassas bilgileri içeren günlük dosyalarını veya / etc / fstab içinde parola gibi kimlik bilgileri içeren yapılandırma dosyalarını veya kök kullanıcının kabuk geçmişindeki bazı komutları düşünün .

Bölümler yerine LVM kullanmanın büyük bir yararı vardır, diskinizin kendisini yeniden bölümlemeye gerek kalmadan mantıksal birimleri kolayca yeniden boyutlandırabilir / yeniden adlandırabilir / kaldırabilirsiniz, bölümleri (GPT veya MBR) kullanmaktan daha uygundur

Ulrich Dangel
kaynak
Benim için LVM her zaman fiili bir standart olmuştur, özellikle çoklu önyükleme ortamında geleneksel bölümlemeye göre çok fazla esneklik sunar. Ayrıca zaten initramfs-tools ve mkinitcpio kullanmayı öğrendiğim sürece, bazı egzotik dağıtımların sunduğu diğer ramfs araçlarını da öğrenebilirim. : D
nikitautiu
1
@vitiv sadece kayıt için initramfs-araçları mükemmel kriptoroot entegrasyonu var, sadece cryptsetup yükleyin, uygun oluşturmak / etc / crypttab, ayarlamak / etc / fstab ve bitirdiniz.
Ulrich Dangel
10

/etc,, /varve /tmpakla gel. Hepsi potansiyel olarak hassas içeriğe sahip olabilir. Hepsine ayrı birimler verilebilir, ancak her birinin kök dizini ile aynı dosya sisteminde olması yaygındır. Belki bir ya da daha fazlasını kendi hacimlerine taşıdınız, ama hepsini taşıdınız mı?

  • /etc içerir:

    • karma parolalar; muhtemelen /etc/shadowve gibi birden fazla çeşit/etc/samba/smbpasswd

    • çeşitli özel anahtarlar: SSL, SSH, Kerberos ...

  • /var içerir:

    • /var/loghassas içeriğe sahip olabileceğinden, içeriğinin birçoğunun kök tarafından salt okunur olması amaçlanmıştır; örneğin, /var/log/httpd/access_logbir web sitesinin kullanıcıları tarafından şifrelenmemiş girdiler olan GET verileri içerebilir ve bu nedenle hassas olabilir.

    • veritabanı dosyaları; MySQL genellikle kendi masa ve indeks dosyaları saklayan /var/lib/mysqlörneğin

  • /tmpsesler hassas olmayabilir, ancak Unix yazılımına karşı, işlem kullanmaya çalışırken geçici bir dosyayı değiştirebilmesinden veya silmekten dolayı yarış koşullarını içeren çok sayıda saldırı vardır. Birçok durumda, dosya içeriği sadece kısa vadeli bir şekilde hassastır (yani bir yeniden başlatma yoluyla değil), ancak bazı programların yapışkan bitlerin ve mkstemp'in (3) geçici olarak uzun ömürlü hassas önbellek davranışı şekline bağlı olabileceğini hayal ediyorum veri de.

Warren Young
kaynak
3
/ etc ve / var iyi bir noktadır. / Tmp gelince neredeyse her zaman tmpfs olarak ayarlanır.
nikitautiu
4

Başka bir neden dosya sisteminin kurcalanmasını önlemektir. Şifrelendikten sonra, bir sonraki önyüklemede sizi ısırabilecek her şeyi yapmak çok daha karmaşıktır, örneğin dosya sisteminize bir rootkit yerleştirmek (canlı bir CD'yi önyükleyerek veya hdd'yi geçici olarak başka bir makineye taşıyarak olsun). Çekirdeğiniz (ve initrd) hala savunmasızdır, ancak güvenli önyükleme (uygun şekilde imzalanmış bir önyükleme zinciri ile) veya güvenli bir çıkarılabilir aygıttan (örneğin, bir flash sürücü veya kontrol altında olduğunuz bir bellek kartı ) önyükleme yaparak hafifletilebilir. zaman).

peterph
kaynak
Gerçekten de, tüm ikili dosyalar kullanıcının bir sonraki önyüklemeden önce kurcalanabiliyorsa / home şifrelemesi değersizdir. bu en önemli cevap olurdu diyebilirim. / ev şifrelemesi yalnızca ani hırsızlığa karşı korur
infinite-etcetera
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.