web-dev-qa-db-ja.com

暗号化されたLVMインストールでホームディレクトリを暗号化しすぎていますか?

代替CDからインストールし、LVM暗号化ハードドライブを使用しています。

インストーラーは、ホームディレクトリを暗号化するかどうかをたずねていますが、これはやりすぎですか?

13
Joey BagODonuts

ほとんどのシステムでは過剰です。 「暗号化されたLVM」とは、おそらく「LUKS」を意味します( Linux Unified Key Setup )。

ホームディレクトリを暗号化すると、以下から保護されます。

  • ファイルにアクセスする同じシステム上の他のユーザー
  • マシンが盗まれたり紛失したりしたときのデータ盗難

からではなく:

  • ユーザーのホームディレクトリ外のシステム設定またはファイル(バイナリを含む)の変更。このようにして、管理者(または物理アクセスとLiveCDを持っている人)は、ホームディレクトリ内のファイル/設定をコピー/変更するプログラムをインストールできます。

LUKSを使用したシステムの暗号化(代替インストーラーの場合は完全なディスク暗号化):

  • マシンが盗まれたり紛失したりしたときのデータ盗難
  • データの整合性:LUKSパスフレーズを知らない人は、システム設定やファイルを変更できませんが、まだ Evil Maid Attack から保護されていません。

したがって、システムの唯一のユーザーである場合、ホームディレクトリを暗号化しても重要な保護は追加されず、パフォーマンスが低下するだけです。信頼できる人とマシンを共有していて、コンピューターに極秘情報が含まれていない場合も、そうするべきではありません。最後のケース:マシンを共有しており、マシンに複数のオペレーティングシステムがインストールされており、パスフレーズを知っているのが自分だけである場合、ホームディレクトリを暗号化する必要はありません。

7
Lekensteyn

それが過剰であるかどうかはあなたの状況に依存します。暗号化されたホームディレクトリは、システム上の他のユーザーや外部の侵入者から個人データを保護します。さらに、暗号化の各レベルが追加されると、攻撃者が侵入するのがより困難になります。クライアントコンピューターのイメージがあり、一部にはクレジットカード番号と社会保障番号が含まれるバックアップドライブでは、ディスク暗号化全体を使用してから、 differentパスワードと[PPP]で暗号化されたホームディレクトリ: https://www.grc.com/ppp.htm =コード。人々の個人情報に関するものについては、カスケード暗号化を使用してTrueCryptコンテナー内に追加します。それはおそらくやり過ぎですが、すべてのベースをカバーしています。私のドライブを盗む人はすべてのものからロックアウトされ、誰かは実行中のシステムをハッキングする人は私のファイルからロックアウトされ、誰かが私が何かをバックアップしている間にコンソールアクセスを得る人は現在解読されたバックアップセットのみを取得します独自のデータ。)

必要なレベルを決定することは、主にシステムに対して誰かが行う可能性のある攻撃の可能性を発見し、それらをロックアウトすることです。ディスク全体の暗号化は、おそらくシングルユーザーシステムの99%で十分です。

4
Perkins