我很好奇,是否可以在Ubuntu 10.0.4 LTS上安全地自动安装通过cryptsetupencryption的分区。
例如,如果我使用encryption分区的密钥,那么密钥必须在未encryption的设备上显示,如果有人窃取我的磁盘,他们将能够find密钥并解密分区。
有没有安全的方式来加载分区? 如果没有,有什么可以做我想要的?
是的,这是可能的 – 例如,您可以将密钥存储在encryption的主目录中,也可以存储在LVMencryption的系统卷上。 但是,这两种方法都要求您在某个时刻解密存储密钥的分区 – 如果您正在寻找在启动时无人值守安全encryption设备的安装,那就更加困难了。 看到这个问题的讨论。
我们使用encryption的LVM系统驱动器,在启动时input密码有点痛苦,这意味着我们可以合理地保护磁盘(以及其他任何我们想要装入的encryption设备,分区或卷)在发生物理损失或盗窃的情况下。 尽pipe如此,这并不能帮助确保正在运行的系统。
像你的房子或汽车一样,保证数据安全的唯一方法就是不要把钥匙留在周围……这种排除了自动启动,除非你要做一些像认真保护密钥服务器那样的东西,插入墙壁或倒入基础? 🙂
我个人在这种情况下做了两件事。 我的一台机器中有一个远程KVM卡,所以启动时我可以通过KVMlogin并input密码。 另一个我有一个未encryption的根分区,然后将安全重要的数据存储在另一个分区,我必须ssh和解密/挂载。 我主要担心有人入侵并窃取信息,然后访问所有这些私人数据。