私が持っているさまざまな代替案(ext4暗号化など)を確認していましたが、私はthink rootがホームアカウントに入力してそこに何が格納されているかを確認するのに脆弱です。これは非常に簡単です。誰かがコンピュータを手にしたときに行います。
誰かがベアメタルを使用したとしても、rootであっても、ファイルにアクセスできないようにする方法を探しています。キーを忘れた場合、データを失うリスクを冒すことをいとわない。それは問題ではなく、実際には望ましいことである。
eCryptFSはホームフォルダー(およびサブフォルダー)を暗号化し、ログインパスフレーズで自動的に復号化できます。rootはパスフレーズを変更するだけでなく、実際のログインパスフレーズが必要です。 ecryptfs-migrate-home
スクリプト/ツールは既存の家を暗号化できます。または、多くのディストリビューションは、新しいユーザーが作成されたときに家を暗号化できます。ほとんどのディストリビューション、Debian、Mint&Ubuntu派生、Arch、Gentooなどで利用できます。また、サイズを自由に拡張できます。
または、ecryptfs-setup-private
を使用して、暗号化された「プライベート」フォルダを1つだけ使用することもできます。
EncFSはフォルダも暗号化しますが、安全な自動復号化のためにさらにカスタマイズが必要になる場合があります。
LUKSまたはプレーンdm-cryptは、固定サイズのコンテナファイルまたはデバイスを使用します。上記のファイルベースのソリューションほど拡張は簡単ではありませんが、情報(ファイル番号とおおよそのサイズ)もあまり明らかになりません
TrueCryptまたは派生物はLUKSと同様に機能します
多くのディストリビューションは、「フルディスク暗号化」(通常はLUKSとLVMを使用)を使用してインストールすることもできます。これには、起動時に正しいパスフレーズを入力する必要があります。これは、すべてを単独で再起動する必要がないシングルユーザー(「パーソナル」)コンピューターには適したソリューションですが、マルチユーザーコンピューターでは、他のすべてのユーザーにも「復号化」されます。
そのためにdm-cryptを使用できます。ストレージデバイスとして使用される空のファイルを作成する必要があります。 ddまたはたとえばfallocateを使用して、特定のサイズの1つを作成できます。
fallocate -l 512M /home/user/cryptedDevice`
dd if=/dev/zero of=/home/user/cryptedDevice bs=1M count=512
これにより、cryptedDeviceという名前の512MBのファイルがホームディレクトリに作成されます。次に、そのファイルの上にルークを設定できますcryptsetup -y luksFormat /home/user/cryptedDevice
Luksを使用すると、コンテナなどのサイズを簡単に変更できます。
暗号化されたファイルを開くには、次の操作を実行できます。cryptsetup luksOpen /home/user/cryptedDevice someDeviceName
次に、このパーティションをファイルシステムでフォーマットする必要があります。mkfs.ext4 -j /dev/mapper/someDeviceName
その後、そのデバイスをフォルダーにマウントするだけです:mount /dev/mapper/someDeviceName /mnt/
。