11

В интересах защиты личной информации в случае кражи ноутбука, я ищу лучший способ шифрования системы Linux.

Недостатки шифрования всего диска, включая обмен:

  • Запрос пароля перед загрузкой выглядит некрасиво и неполированно и выглядит скрытым среди загрузочных сообщений (может ли что-то вроде Splashy справиться с этим?)
  • Необходимо войти в систему дважды (если у вас есть экран входа GDM и вам нужно несколько пользователей)

Недостатки шифрования отдельных папок с использованием libpam-mount или аналогичного:

  • Зашифрована только домашняя папка пользователя (тогда как /etc, /var etc могут также содержать конфиденциальную информацию).
  • Файл подкачки не зашифрован, поэтому возможна утечка конфиденциальных данных
  • Нет способа безопасно перевести в спящий режим.

Я использую Debian Linux, если это имеет значение. Не нужно быть смехотворно защищенным, но нужно быть уверенным, что вор не может украсть мою личность, банковские реквизиты, логин VPN и т.д., Если он был украден во время выключения / гибернации.

Знаете ли вы способы решения любой из моих вышеупомянутых проблем?

5 ответов5

7

Ваша проблема является общей: в основном, сложный баланс между безопасностью и удобством использования.

Я предлагаю использовать слегка измененную версию смешанного подхода:

  • с помощью кросс-платформенного программного обеспечения, такого как TrueCrypt, подготовьте один или несколько зашифрованных томов для ваших личных данных, которые вы НЕ используете ежедневно (банковские реквизиты, сохраненные пароли, медицинские записи и т. д.)
  • причина использования более одного тома заключается в том, что вы можете создать резервную копию их на другом носителе или использовать разные схемы шифрования: например, вы можете поделиться своими записями о здоровье с кем-то другим и сообщить им свою парольную фразу (которая должна быть отличается от того, что используется для других томов)
  • использование "стандартного" кроссплатформенного программного обеспечения означает, что вы сможете восстановить данные из другой ОС на лету, если ваш ноутбук будет украден / поврежден
  • шифрование всего диска часто бывает громоздким и сложным. Хотя есть атаки для этого (см. Атака Злой Девы, это оказывается полезным, если вы боитесь того, что может случиться, если у людей будет доступ ко всей системе). Например, если вы используете корпоративный ноутбук, не имеете административного доступа и есть ключи VPN, которые не должны быть украдены
  • Кэшированные пароли для mail / web / apps - еще одна проблема: возможно, вы захотите зашифровать только свой домашний каталог? Для оптимизации производительности и безопасности / удобства использования вы можете:
    • зашифровать весь домашний каталог
    • мягкая ссылка на незашифрованный каталог в вашей файловой системе для данных, которые вы не хотите потерять (музыка, видео и т. д.)

Опять же, не забывайте, что все сводится к стоимости того, что вы должны потерять, по сравнению с ценой вашего времени и затрат на восстановление.

2

Я не зашифровываю весь жесткий диск, это просто слишком много для администратора / управления.

Поэтому я использую dm-encrypt для создания логического зашифрованного раздела.

Я написал сценарий вокруг него, который я использую ежедневно, чтобы понять, поможет ли он вам. Я называю это под .bashrc

http://bitbucket.org/chinmaya/linux-scripts/src/tip/ch-enc

1

Вы можете использовать Pend Drive для хранения ключей шифрования. Для лучшей безопасности он должен быть защищен паролем, но это не обязательно.

http://loop-aes.sourceforge.net/loop-AES.README посмотрите на пример 7.

1

Я все еще относительно новичок в Linux, но я подумал, что когда вы устанавливали систему, был способ включить шифрование всего диска. Кроме того, TrueCrypt имеет пакет .deb.

Я еще не использовал шифрование диска в Linux, поэтому, возможно, у этих опций есть проблемы, которые вы описали выше. Что касается многопользовательского входа в систему, возможно, TrueCrypt можно настроить для использования файла ключа на USB-накопителе. Таким образом, все, что вам нужно, это ноутбук и USB-накопитель для доступа к файлам на ноутбуке.

Я все еще изучаю Linux, поэтому надеюсь, что это поможет.

0

Что вас беспокоит? Какие векторы атаки? Прежде чем вы начнете серьезно относиться к безопасности, у вас должны быть ответы на эти два вопроса.

"Личная информация" предполагает, что вы беспокоитесь о таких вещах, как кража личных данных, случайные шпионы и т.д. Что-то вроде программного обеспечения цепочки для ключей достаточно для защиты банковских учетных данных и т.д., Но нецелесообразно для больших объемов информации.

Если у вас есть много данных, которые вы хотите защитить, информация, к которой вам не нужен быстрый доступ, и за которую вы готовы платить небольшую повторяющуюся бесплатную плату, то Amazon S4 - хороший вариант, полностью устраняющий беспокойство по поводу физического доступ, так что безопасность сводится к управлению ключами, что, опять же, адекватно решается программным обеспечением цепочки для ключей. Amazon не видит содержимое того, что вы храните таким образом, а только зашифрованный результат. Конечно, это означает, что если вы испортите и потеряете ключи, Amazon не сможет вам помочь.

В третьем случае, когда вы хотите относительно быстрый доступ к большому количеству данных, я рекомендую использовать не полное шифрование диска, а шифрование всего раздела, согласно предложению chinmaya. Шифрование по каталогам - это неприятность, и я не рекомендую этого: заставить систему делопроизводства делать свою работу.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .