どのパーティションを暗号化する必要がありますか?
私のラップトップは現在WindowsとFedoraを実行していますが、まもなく唯一のOSとしてArchLinuxをインストールする予定です。この現在のセットアップでは、TrueCryptによるディスク全体の暗号化を使用していますが、それが私にとって不必要であるかどうかはわかりません。
次のような、やや単純なパーティションシーケンスを使用すると思います。/、/boot、/homeおよびswap。
私はラップトップを日常の平均的なPCの使用、プログラミング、ローカルWebサーバーまたは仮想Webサーバーでのテスト、オーディオ/ビデオの再生、オーディオの編集/録音などに使用しています。
次のArchのみのセットアップも暗号化したいのですが、ディスク全体をパーティション化するか、ホームパーティションだけをパーティション化するか、それとも他の何かをパーティション化するかを決定できません。主に最終的な紛失/盗難データを保護するためにシステムを暗号化したい。
LUKSを使用したdm-cryptが最善の選択だと思いますが、よくわかりません。
何を選ぶべきですか、そしてその理由は何ですか?
ほとんどのシナリオでは、次の3つのスキームのいずれかが適切に機能します。
いくつかの特に機密性の高いファイルのみを暗号化する必要があります。
使用 encfs :
mkdir ~/.encrypted.d ~/encrypted
encfs ~/.encrypted.d ~/encrypted
editor ~/encrypted/confidential-file
長所:機密でないファイルにアクセスするためのオーバーヘッドがありません。異なるパスワードで異なる階層を持つことができます。暗号化されたファイルの階層全体を別のマシンに簡単にコピーできます。 encfsを使用するために特別な権限は必要ありません。
短所:暗号化された領域に明示的に配置されたファイルのみを暗号化します。とにかく多くのファイルを暗号化する場合は、ディスクレベルの暗号化よりも少し遅くなります。
ホームディレクトリ全体を暗号化する必要があります。
ecryptfs を使用します。
長所と短所 。一言で言えば、ecryptfsは、ログインパスワードを使用してホームディレクトリを暗号化する場合に特に効果的です。これは、インストーラーにホームディレクトリを暗号化するように指示した場合にUbuntuが使用するものです。欠点の1つは、sshにキー認証を使用している場合、公開キーを暗号化された領域の外に配置する必要があり、sshを入力した後にパスワードを入力する必要があるため、アカウントにsshを使用するのがより難しいことです。
ディスク全体の暗号化。
dm-crypt を使用して、/bootを除くすべてを暗号化します。
長所:すべてが暗号化されているため、誤ってファイルを間違った場所に置くことを心配する必要はありません。ブロックレベルの暗号化は、特にプロセッサにAES用のハードウェアアクセラレータがある場合(x86では AES-NI )、より高速になります。
短所:起動時にパスワードを入力する必要があるため、無人起動を実行できません。すべてが暗号化されているため、プロセッサが遅いと遅くなる可能性があります。
一般的注意事項
フルディスク暗号化を使用しない場合は、データの一時的なコピーがホームディレクトリの外に出る可能性があることに注意してください。最も明白な例はスワップスペースです。したがって、泥棒がデータを読み取らないように暗号化を使用する場合は、必ず暗号化してください(dm-cryptを使用)。スワップスペースは起動のたびに再初期化されるため、ランダムキーを使用できます。これにより、無人起動を実行できます(ただし、これにより休止状態が不可能になります)。
/tmpをtmpfsの下に置きます(とにかくそれは良い考えです)。 /tmpをtmpfsに移行する方法については、 / tmpを別のボリュームに(安全に)移動する方法は? を参照してください。
その他の危険な領域は、メールドロップ(/var/mail)と印刷スプーラー(/var/spool/cups)です。
Linuxカーネルと統合されており、箱から出してすぐに機能するので、間違いなくluksを使用する必要があります。他のソリューションを使用することは、特にそれらのいくつかがAES-NIをサポートしないため、実際には価値がありません。
何を暗号化するかについては、 暗号化された/? を参照してください。ただし、パラノイアレベルとセキュリティのニーズによっては、/homeを暗号化するだけで十分な場合があります。