暗号化されたLVMインストールでホームディレクトリを暗号化しすぎていますか?


14

代替CDからインストールし、LVM暗号化ハードドライブを使用しています。

インストーラーは、ホームディレクトリを暗号化するかどうかをたずねていますが、これはやりすぎですか?


ちょうどこのroner70.blogspot.com/2010/05/…を見つけました ..彼らがなぜこれが悪い考えであるかについて説明しませんか?どんな入力でも大歓迎です。
ジョーイBagODonuts

それは本当に個人的な選択です-コンピュータの盗難/紛失のイベントで「公開」したくない機密情報がある場合、ホームディレクトリを暗号化することはおそらく必要だと思いますが、それはあなたの一般的な情報だけを持っている場合.....あまり心配しません。いずれにせよディスクを暗号化する方法を使用すると、データを取得するのに手間がかかる場合、使用するパスワードが強いほど、平均的な泥棒が阻止されます。
マークルーニー

回答:


7

ほとんどのシステムでは過剰です。「暗号化されたLVM」とは、おそらく「LUKS」(Linux Unified Key Setup)のことです。

ホームディレクトリを暗号化すると、以下から保護されます。

  • ファイルにアクセスする同じシステム上の他のユーザー
  • マシンが盗難/紛失された場合のデータ盗難

からではなく:

  • ユーザーのホームディレクトリ外のシステム設定またはファイル(バイナリを含む)の変更。この方法で、管理者(または物理アクセスとLiveCDを持っている人)は、ホームディレクトリ内のファイル/設定をコピー/変更するプログラムをインストールできます。

LUKSを使用してシステムを暗号化する(代替インストーラーの場合は完全なディスク暗号化):

  • マシンが盗難/紛失された場合のデータ盗難
  • データの整合性:LUKSパスフレーズを知らない人はシステム設定やファイルを変更できませんが、それでもあなたはEvil Maid Attackから保護されていません。

したがって、システムの唯一のユーザーである場合、ホームディレクトリを暗号化しても重要な保護は追加されず、パフォーマンスが低下するだけです。信頼できる人とマシンを共有していて、コンピューターに極秘情報が含まれていない場合も、そうするべきではありません。最後のケース:マシンを共有し、マシンに複数のオペレーティングシステムがインストールされており、パスフレーズを知っているのがあなただけである場合、ホームディレクトリを暗号化する必要はありません。


4

それが過剰であるかどうかは、あなたの状況に依存します。暗号化されたホームディレクトリは、システム上の他のユーザーや外部の侵入者から個人データを保護します。さらに、暗号化の各レベルが追加されると、攻撃者が侵入するのがより困難になります。クライアントコンピューターのイメージがあり、一部にはクレジットカード番号と社会保障番号が含まれるバックアップドライブでは、ディスク暗号化全体を使用してから、別のパスワードと[PPP]で暗号化されたホームディレクトリ:https : //www.grc.com/ppp.htmコード。人々の個人情報に関するものについては、カスケード暗号化を使用してTrueCryptコンテナー内に追加します。おそらくやり過ぎですが、すべての基盤をカバーしています。私のドライブを盗む人はすべてのものからロックアウトされ、誰かは実行中のシステムをハッキングする人は私のファイルからロックアウトされ、誰かが私がそれをバックアップしている間にコンソールアクセスを得る人は現在解読されたバックアップセットのみを取得します独自のデータ。)

必要なレベルを決定することは、主に誰かがシステムに対して行う可能性のある攻撃を発見し、それらをロックアウトすることです。ディスク全体の暗号化は、おそらくシングルユーザーシステムの99%で十分です。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.