暗号化された理由/？

私はLinuxの大ファンで、新しいディストリビューションを時々試してみたいです。私は通常、暗号化されたパーティションの上のLVMにホームフォルダーとルートを持っていますが、すべてのinitramfs作成プロセスが最後のものよりも異質であると、これは面倒になる傾向があります。

私はプライバシーを大切にしていますが、私の貴重な情報や個人情報のほとんどはホームフォルダに保存されています。さらに、GPTを使用してパーティション分割しているため、LVMの外部でも複数のパーティションを設定するのはそれほど難しくありません。

だから問題は：「/」のroot暗号化とlvm-ingはそれだけの価値がありますか？特に私が対処しなければならないすべての初期のユーザースペースの面倒で？

まず、暗号化されたルートと初期のユーザー空間の手間は通常、ディストリビューションによって既に処理されています（私が知る限り、Fedora、Debian、Ubuntu、およびOpenSUSEは、箱から出して暗号化されたルートをサポートしています）。つまり、セットアップ自体を気にする必要はありません。

/を暗号化する理由の1つは、情報がまったく漏洩しないようにすることです。/ tmpに一時データを書き込むプログラム、/ var / log内のユーザー名/パスワードなどの機密情報を含むログファイル、/ etc / fstab内のパスワードなどの資格情報を含む構成ファイル、またはrootユーザーのシェル履歴内のいくつかのコマンドについて考えます。

パーティションの代わりにLVMを使用することには大きな利点が1つあります。ディスク自体を再パーティション化する必要なく、論理ボリュームのサイズ変更/名前変更/削除を簡単に行うことができます。パーティション（GPTまたはMBR）を使用するよりも便利です。

/etc、/varと/tmp気にしています。機密コンテンツが含まれている可能性があります。すべてに個別のボリュームを与えることができますが、これらのそれぞれがルートディレクトリと同じファイルシステム上にあるのが一般的です。おそらく、1つ以上のボリュームを独自のボリュームに移動しましたが、それらすべてを移動しましたか？

• /etc 含む：

  • ハッシュ化されたパスワード; /etc/shadowand などの複数のソート/etc/samba/smbpasswd

  • さまざまな種類の秘密鍵：SSL、SSH、Kerberos ...

• /var 含む：

  • /var/log、その内容の多くは機密データを含む可能性があるため、rootによる読み取り専用を意図しています。たとえば、/var/log/httpd/access_logWebサイトのユーザーによる暗号化されていないエントリであるGETデータが含まれている可能性があるため、機密性が高い可能性があります。

  • データベースファイル; MySQLは通常、テーブルとインデックスファイルをに保存し/var/lib/mysqlます。

• /tmp一時ファイルが含まれているため、機密性の高いサウンドにはならない可能性がありますが、プロセスが一時ファイルを使用または変更しようとするときに一時ファイルを変更または狙撃できるため、競合状態を伴うUnixソフトウェアに対する攻撃が数多くあります。多くの場合、ファイルの内容は短期的にのみ（つまり、再起動ではなく）機密性が高いことがわかっていますが、一部のプログラムはスティッキービットとmkstemp（3）が長期にわたって機密性の高い機密性を一時的にキャッシュする方法に依存していると思いますデータも。

別の理由は、ファイルシステムの改ざんを防ぐことです。暗号化された後は、次の起動であなたを噛む可能性のあることを実行するのははるかに複雑です。たとえば、ルートキットをファイルシステムに配置します（ライブCDを起動するか、hddを一時的に別のマシンに移動するなど）。カーネル（およびinitrd）はまだ脆弱ですが、セキュアブート（適切に署名されたブートチェーンを使用）を使用するか、安全なリムーバブルデバイス（例：フラッシュドライブまたは制御下にあるメモリカード）からブートすることで軽減できます。時間）。