どのパーティションを暗号化する必要がありますか?

どのパーティションを暗号化する必要がありますか?

私のラップトップは現在WindowsとFedoraを実行していますが、まもなく唯一のオペレーティングシステムとしてArch Linuxをインストールする予定です。現在の設定ではTrueCryptによるフルディスク暗号化を使用していますが、これが私に必要かどうかはわかりません。

/私の考えでは、との/bootような少し簡単なパーティション化スキームを使用しているようです。/homeswap

私は日常的なPCの使用、プログラミング、ローカルネットワークサーバーまたは仮想ネットワークサーバーでのテスト、オーディオ/ビデオの再生、オーディオの編集/録音などのためにラップトップを使用しています。

また、次のArch専用設定を暗号化したいが、ディスク全体をパーティション化するのか、プライマリパーティションのみをパーティション化するのか、別のパーティションにパーティション化するのかを決定することはできません。暗号化システムは、主にデータが紛失/盗難から保護されるようです。

私はdm-cryptとLUKSが最善の選択だと思いますが、わかりません。

何を選択する必要があり、その理由は何ですか?

ベストアンサー1

ほとんどのシナリオでは、次の3つのオプションのいずれかがうまく機能します。

特に機密ファイルの一部だけを暗号化しようとしています。

使用環境ファイルシステム:

mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file

利点:機密以外のファイルにアクセスするためのオーバーヘッドはありません。暗号化されたファイルの階層全体を他のコンピュータに簡単にコピーできます。 encfを使用するために特別な権限は必要ありません。

欠点:暗号化するファイルの数が多い場合は、暗号化された領域に明示的に配置されたファイルのみを暗号化します。

ホームディレクトリ全体を暗号化しようとしています。

使用暗号化されたファイルシステム

長所と短所。簡単に言えば、ecryptfsはログインパスワードでホームディレクトリを暗号化したい場合に特に効果的です。インストーラにホームディレクトリを暗号化するように指示すると、Ubuntuはこの方法を使用します。 1つの欠点は、SSH経由でアカウントにログインするのが難しいことです。 SSH鍵認証を使用する場合は、公開鍵を暗号化領域の外に配置し、SSHログイン後にパスワードを入力する必要があるためです。

フルディスク暗号化。

使用DMパスワードを除くすべてを暗号化します/boot

利点:すべてが暗号化されているため、誤って誤った場所にファイルを置くことを心配する必要はありません。特に、プロセッサにAESハードウェアアクセラレータがある場合、ブロックレベルの暗号化はより良い速度を提供します(AES-NIx86)。

欠点:起動時にパスワードを提供する必要があり、無人起動が不可能です。すべてが暗号化されているため、プロセッサが遅い場合は遅くなる可能性があります。

一般的な注意事項

フルディスク暗号化を行わない場合は、データの一部の一時コピーがホームディレクトリの外にある可能性があることに注意してください。最も明確な例はスワップスペースなので、泥棒がデータを読み取るのを防ぐために暗号化を使用するには、そのデータを暗号化する必要があります(dm-cryptを使用)。スワップスペースは起動するたびに再初期化されるため、任意のキーを使用して無人起動を実行できます(ただし、これにより休止状態ができなくなります)。

tmpfsの下に入れてください/tmp(とにかく良いアイデアです)。バラより/tmpを別のボリュームに(安全に)移動するには?/tmptmpfsに移行する方法を学びます。

危険にさらされる他の領域は、メール配信(/var/mail)と印刷スプーラ(/var/spool/cups)です。

おすすめ記事