사용하기 쉬운 Linux 디스크 암호화 체계를 원합니다 정보를 보호하기 위해

랩톱을 도난 당했을 때 개인 정보를 보호하기 위해 Linux 시스템을 암호화하는 가장 좋은 방법을 찾고 있습니다.

스왑을 포함한 전체 디스크 암호화의 단점 :

  • 부팅 전 암호 프롬프트는 추악하고 연마되지 않은 것으로 부팅 메시지 사이에 숨겨져 있습니다 (S 플래시와 같은 것이 이것을 처리 할 수 ​​있습니까?).
  • 두 번 로그인해야합니다 (GDM 로그인 화면이 있고 여러 사용자가 필요한 경우)

libpam-mount 또는 이와 유사한 기능을 사용하는 개별 폴더 암호화의 단점 :

  • 사용자의 홈 폴더 만 암호화됩니다 (/ etc, / var 등은 중요한 정보도 포함 할 수 있음).
  • 스왑 파일은 암호화되지 않으므로 중요한 데이터가 유출 될 수 있습니다.
  • 안전하게 동면 할 방법이 없습니다.

중요한 경우 데비안 리눅스를 사용하고 있습니다. 말도 안되게 안전 할 필요는 없지만, 도둑이 내 / 최대 절전 모드에서 도난 당하면 내 신원, 은행 계좌 정보, VPN 로그인 등을 훔칠 수 없다는 마음의 평화를 원합니다.

위의 문제를 해결할 수있는 방법을 알고 있습니까?



답변

보안과 사용성의 균형이 어려운 문제는 일반적인 문제입니다.

내 제안은 약간 수정 된 혼합 접근법을 사용하는 것입니다.

  • TrueCrypt와 같은 크로스 플랫폼 소프트웨어를 사용하여 매일 사용하지 않는 개인 데이터 (은행 정보, 저장된 비밀번호, 의료 기록 등)에 대해 하나 이상의 암호화 된 볼륨을 준비하십시오.
  • 둘 이상의 볼륨을 사용하는 이유는 다른 미디어에 백업하거나 다른 암호화 체계를 사용하기를 원하기 때문입니다. 예를 들어, 건강 기록을 다른 사람과 공유하고 암호를 알려줄 수 있습니다. 다른 볼륨에 사용 된 것과 다른 경우)
  • “표준”크로스 플랫폼 소프트웨어를 사용하면 랩톱을 도난 당하거나 손상된 경우 다른 OS에서 데이터를 즉시 복구 할 수 있습니다.
  • 전체 디스크 암호화는 종종 번거롭고 어렵습니다. 그것에 대한 공격이 있지만 ( 사악한 메이드 공격 참조) 사람들이 전체 시스템에 액세스 할 수있는 경우 발생할 수있는 일이 두려우면 유용합니다 . 예를 들어 회사 랩톱을 사용하는 경우 관리자 액세스 및 도난 당해서는 안되는 VPN 키가 있습니다
  • 메일 / 웹 / 앱의 캐시 된 비밀번호는 또 다른 문제입니다. 아마도 홈 디렉토리 만 암호화하고 싶습니까? 성능 및 보안 / 사용성을 최적화하기 위해 다음을 수행 할 수 있습니다.
    • 모든 집 디렉토리를 암호화
    • 잃어 버릴 염려가없는 데이터 (음악, 비디오 등)를 위해 파일 시스템의 암호화되지 않은 디렉토리에 대한 소프트 링크

다시 말하지만, 모든 것이 시간과 복구 비용의 가치와 비교하여 잃어버린 것의 가치에 달려 있다는 것을 잊지 마십시오.


답변

전체 하드 드라이브를 암호화하지 않으며 너무 많은 관리 / 관리가 필요합니다.

따라서 dm-encrypt를 사용하여 논리적으로 암호화 된 파티션을 만듭니다.

나는 매일 사용하는 스크립트를 작성했는데 그것이 도움이되는지 확인하십시오. .bashrc에서 이것을 호출합니다.

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc


답변

pend drive를 사용하여 암호화 키를 저장할 수 있습니다. 최상의 보안을 위해 비밀번호로 보호해야하지만 반드시 그럴 필요는 없습니다.

http://loop-aes.sourceforge.net/loop-AES.README 예제 7을보십시오.


답변

필자는 여전히 Linux를 처음 접했지만 시스템을 설치할 때 전체 디스크 암호화를 켜는 방법이 있다고 생각했습니다. 또한 TrueCrypt에는 .deb 패키지가 있습니다.

Linux에서는 디스크 암호화를 아직 사용하지 않았으므로 이러한 옵션에는 위에서 설명한 것과 같은 문제가있을 수 있습니다. 다중 사용자 로그온에 대해서는 USB 드라이브의 키 파일을 사용하도록 TrueCrypt를 설정할 수 있습니다. 그렇게하면 랩톱과 USB 드라이브 만 있으면 랩톱의 파일에 액세스 할 수 있습니다.

나는 아직도 리눅스를 배우고 있기 때문에 이것이 도움이되기를 바란다.


답변

당신은 무엇을 걱정합니까? 어떤 공격 벡터? 보안에 대해 진지해지기 전에이 두 가지 질문에 대한 답변이 있어야합니다.

“개인 정보”는 신원 도용, 캐주얼 스 누퍼, & c. 키 체인 소프트웨어와 같은 것만으로도 은행 로그인 정보를 보호 할 수 있습니다 (& c). 그러나 많은 양의 정보에는 비실용적입니다.

보호하려는 많은 데이터, 빠른 액세스가 필요하지 않은 정보 및 소액의 무료 반복 지불을 기꺼이 지불하려는 경우 Amazon S4를 사용하는 것이 좋습니다. 물리적 걱정을 완전히 제거하십시오. 보안이 키 관리로 축소되어 다시 키 체인 소프트웨어로 적절히 해결됩니다. Amazon은 이러한 방식으로 저장 한 내용의 내용을 볼 수 없으며 암호화 된 결과 만 볼 수 있습니다. 물론 이것은 열쇠를 엉망으로 만들면 아마존이 당신을 도울 수 없다는 것을 의미합니다.

대량의 데이터에 상대적으로 빠르게 액세스하려는 세 번째 경우 chinmaya의 제안에 따라 전체 디스크 암호화가 아니라 전체 파티션 암호화를 사용하는 것이 좋습니다. 디렉토리 별 암호화는 성가신 일이므로 권장하지 않습니다. 파일링 시스템이 작업을 수행하도록하십시오.