LVM暗号化物理ボリュームと暗号化論理ボリューム。私は安全ですか?
Linuxのディスク暗号化技術はどういうわけか初めてですが、暗号化についての基本的な考え方はあります。ここに私の条件:
- 「/ home」だけでなく、「/」を含む「フルディスク暗号化」が必要です。
- 別のパーティションに/ homeは必要ありません。単一の「/」を使用して、スワップすることをお勧めします。
- 動作するにはサスペンド/ハイバネートが必要です(はい、サスペンドは安全ではないことはわかっていますが、ラップトップを盗まないというまれなケースで動作する必要があります)
- 最新のLinuxディストリビューションインストーラーを使用してこれを実行したいので、私のオプションは基本的にLVMです
- 暗号化されていない/ bootパーティションが必要になることはわかっています
ただし、ディストリビューションインストーラーを使用して、物理ボリューム(PV)を暗号化するオプションがありますが、PV内の論理ボリューム(LV)も暗号化するオプションがあります。
- どちらの方がよいですか?
- 物理ボリュームを暗号化したばかりの場合、安全ですか?それとも、内部のファイルシステムではなく、ある種のメタデータ(内部パーティションへのポインタを含むテーブルなど)を暗号化するだけですか?
- PV暗号化+ LV暗号化が必要な場合はありますか?説明する。
LVMにはさまざまな抽象化(PV、VG、LV、PE)があります。何かを暗号化することで、ファイルの実際の内容ではなく、ある種のメタデータテーブルのみを暗号化する可能性があるのではないかと心配しています。私はこれをグーグルで検索しようとしましたが、ハウツーは通常、パーティションのフォーマット方法を説明していますが、私が尋ねている詳細は説明していません。実際に何が暗号化されているのかわからなくても、ちょっとしたパスワードを入力したいだけなのだと思います。 Linuxディストリビューションのインストーラーも役に立ちません(暗号化する前にランダムなものをディスクに書き込むことを気にするのはDebianだけです!)。
私がしたこと:
- OpenSuseインストーラーを使用して、ディスク上に物理パーティションを作成し、「暗号化済み」としてマークしました。次に、それを使用してLVMグループを作成し、その中に、暗号化されていない/とスワップを作成しました。これは安全ですか?
インストールが完了するのをまだ待っています。後でそれを壊そうとする方法を見つける必要があります。
前もって感謝します。
どちらの方がよいですか?
どちらも同じテクノロジーを使用しています。物理ボリュームを暗号化すると、LVM内のすべてが暗号化されます。 LVMボリューム内で暗号化されないものが必要/必要な場合は、論理ボリュームにセットアップ暗号化を残す必要があります。
何かを暗号化することによって、ファイルの実際の内容ではなく、ある種のメタデータテーブルのみを暗号化する可能性があるのではないかと心配しています。
ほとんどすべてのインストーラーは、基本的に [〜#〜] luks [〜#〜] を使用して DM-Crypt ボリュームをセットアップします。これにより、パーティション全体のコンテンツが暗号化されます。次に、暗号化されたボリューム内にLVMをセットアップして、必要に応じてパーティションを柔軟に調整できるようにするのが一般的です。
PV暗号化+ LV暗号化が必要な場合はありますか?
あなたが非常に妄想的だった場合は、OSと標準ファイルを備えた標準の低セキュリティボリュームが必要になるかもしれません。次に、必要に応じてマウントするだけの別の暗号化されたボリューム内に、非常にスーパーダブルプラスグッドトップシークレットファイルを非表示にすることができます。起動時に両方のボリュームをマウントする場合、それはまったく意味がありません。暗号化されたもののオーバーヘッドが2回あるだけで、実際の利益はあまりありません。このような設定を行った場合、内部ボリュームに対して完全に別個のキー/パスワードを確立する必要があることは明らかです。